Comment intégrer IAM Identity Center à un groupe d'utilisateurs Amazon Cognito ?

Brève description

Les groupes d'utilisateurs Amazon Cognito permettent de se connecter via des IdP tiers. Les utilisateurs peuvent utiliser IAM Identity Center pour se fédérer via l'IdP SAML 2.0 (Security Assertion Markup Language) version 2.0. Pour en savoir plus, consultez la section Fonctionnement de la connexion fédérée dans les groupes d'utilisateurs Amazon Cognito.

L’intégration d’un groupe d'utilisateurs à IAM Identity Center permet aux utilisateurs d'obtenir des jetons de groupe d'utilisateurs auprès d'Amazon Cognito. Pour en savoir plus, consultez la section Utilisation de jetons avec des groupes d’utilisateurs.

Résolution

Suivez ces instructions pour intégrer un groupe d'utilisateurs Amazon Cognito à IAM Identity Center.

Remarque : si vous disposez déjà d’un groupe d'utilisateurs avec un client d'application, ignorez l'étape suivante.

Création d'un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

1.    Créez un groupe d'utilisateurs.

2.    Ajoutez un client d'application et configurez l'interface utilisateur Web hébergée.

3.    Ajoutez un nom de domaine pour votre groupe d'utilisateurs.

Remarque : si vous disposez déjà d'un environnement IAM Identity Center fonctionnel, ignorez l'étape suivante.

Activation d'IAM Identity Center et ajout d'un utilisateur

1.    Avant d'activer IAM Identity Center, vous devez examiner ces conditions préalables et considérations.

2.    Activez IAM Identity Center.

3.    Choisissez votre source d'identité et créez un utilisateur.

Configuration d'une application SAML depuis la console IAM Identity Center

1.    Ouvrez la console IAM Identity Center puis, dans le volet de navigation, sélectionnez Applications.

2.    Choisissez Ajouter une application et Ajouter une application SAML 2.0 personnalisée, puis cliquez sur Suivant.

3.    Sur la page Configurer l'application, saisissez un Nom d'affichage et une Description.

4.    Copiez l'URL du Fichier de métadonnées SAML de IAM Identity Center ou cliquez sur le lien hypertexte Télécharger. Vous utiliserez ces ressources plus tard pour créer un IdP dans un groupe d'utilisateurs.

5.    Sous Métadonnées de l'application, choisissez Saisissez manuellement vos valeurs de métadonnées. Fournissez ensuite les valeurs ci-dessous.

Important : vous devez remplacer les valeurs domain-prefix, region et userpool-id par les informations spécifiques à votre environnement.

URL du service consommateur d'assertion (ACS) de l'application : https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
Audience SAML de l'application : urn:amazon:cognito:sp:<userpool-id>

6.    Choisissez Envoyer. Accédez ensuite à la page Informations pour l'application ajoutée.

7.    Sélectionnez la liste déroulante Actions et choisissez Modifier les mappages d'attributs. Fournissez ensuite les attributs suivants :

Attribut utilisateur dans l'application : subject
Remarque : le champ subject est pré-rempli.
Mappage à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center : ${user:subject}
Format : Persistant

Attribut utilisateur dans l'application : email
Mappage à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center : ${user:email}
Format : Basique

Les attributs mappés sont envoyés à Amazon Cognito au moment de la connexion. Vérifiez que tous les attributs requis pour votre groupe d'utilisateurs sont mappés dans cette section. Pour en savoir plus sur les attributs disponibles au mappage, consultez la section Attributs IAM Identity Center pris en charge.

8.    Enregistrez vos modifications.

9.    Cliquez sur le bouton Attribuer des utilisateurs, puis attribuez votre utilisateur à l'application.

Configuration d'IAM Identity Center en tant qu'IdP SAML dans votre groupe d'utilisateurs

1.    Configurez un IdP SAML dans votre groupe d'utilisateurs. Appliquez les paramètres suivants :

Sous Document de métadonnées, indiquez l'URL des métadonnées ou chargez le fichier que vous avez téléchargé à l'étape 4 de la section précédente. Pour en savoir plus, consultez la section Intégration de fournisseurs d'identité SAML tiers aux groupes d'utilisateurs Amazon Cognito.

Saisissez le Nom du fournisseur SAML. Pour en savoir plus, consultez la section Choix de noms de fournisseurs d’identité SAML.

(Facultatif) Saisissez les identifiants SAML.

2.    Configurez un mappage d'attributs de fournisseur SAML. Appliquez les paramètres suivants :

Dans le champ Attribut SAML, indiquez une valeur d'e-mail qui correspond à la valeur d'attribut utilisateur fournie à l'étape 7 de la section précédente. Dans le champ Attribut du groupe d'utilisateurs, sélectionnez E-mail dans la liste déroulante.

Remarque : veillez à ajouter tout autre attribut configuré dans IAM Identity Center à l'étape 7 de la section précédente.

3.    Enregistrez vos modifications.

Intégration de l'IdP au client de l'application du groupe d’utilisateurs

1.    Connectez-vous à la nouvelle console Amazon Cognito.

2.    Choisissez Groupes d'utilisateurs, puis sélectionnez un groupe d'utilisateurs approprié.

3.    Choisissez l'onglet Intégration d'application, puis Liste des clients d'application.

4.    Sélectionnez le client d'application approprié.

5.    Dans la section Interface utilisateur hébergée, choisissez Modifier.

6.    Sélectionnez l'IdP approprié.

7.    Enregistrez vos modifications.

Testez la configuration

1.    Lancez une interface utilisateur hébergée ou créez une URL de point de terminaison de connexion en utilisant le modèle de dénomination suivant :

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Par exemple : https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

Dans Types d'octroi OAuth 2.0, choisissez Octroi de code d'autorisation afin que le point de terminaison de connexion invite Amazon Cognito à renvoyer les codes d'autorisation lorsque les utilisateurs se connectent. Dans Types d'octroi OAuth 2.0, choisissez Octroi implicite afin qu’Amazon Cognito renvoie des jetons d'accès lorsque les utilisateurs se connectent. Remplacez ensuite response_type=code par response_type=token dans l'URL.

2.    Choisissez IAM IdC.

Si vous êtes redirigé vers l'URL de rappel de votre client d'application, cela signifie que vous êtes déjà connecté en tant qu'utilisateur dans votre navigateur. Les jetons du groupe d'utilisateurs apparaissent directement dans l'URL de la barre d'adresse du navigateur Web.

Remarque : pour éviter cette étape, créez une URL de point de terminaison d'autorisation en utilisant le modèle de dénomination suivant :
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Saisissez les informations d'identification de l'utilisateur et choisissez Connexion.

4.    Si vous êtes redirigé vers une URL de rappel incluant un code ou un jeton d'Amazon Cognito dans la barre d'adresse du navigateur, la configuration est terminée.

Remarque : Amazon Cognito prend uniquement en charge les connexions initiées par un fournisseur de services (SP). Vous devez utiliser le point de terminaison de connexion ou le point de terminaison d’autorisation pour tester votre configuration. Le démarrage d’une connexion initiée par l'IdP avec le portail d'accès AWS pour IAM Identity Center ne fonctionnera pas.