Comment intégrer IAM Identity Center à un groupe d'utilisateurs Amazon Cognito ?

Brève description

Les groupes d'utilisateurs Amazon Cognito permettent de se connecter par le biais d'IdP tiers. Les utilisateurs peuvent utiliser IAM Identity Center pour se fédérer au moyen de l'IdP Security Assertion Markup Language version 2.0 (SAML 2.0). Pour plus d'informations, veuillez consulter la rubrique Fonctionnement de la connexion fédérée dans les groupes d'utilisateurs Amazon Cognito.

Un groupe d'utilisateurs intégré à IAM Identity Center permet aux utilisateurs d'obtenir des jetons de groupe d'utilisateurs à partir d'Amazon Cognito. Pour plus d'informations, veuillez consulter la rubrique Utilisation des jetons avec des groupes d'utilisateurs.

Résolution

Pour intégrer un groupe d'utilisateurs Amazon Cognito à IAM Identity Center, procédez comme suit.

Remarque : si vous disposez déjà d'un groupe d'utilisateurs avec un client d'application, ignorez la section suivante.

Créer un groupe d'utilisateurs Amazon Cognito avec un client d'application et un nom de domaine

1.    Créez un groupe d'utilisateurs.

2.    Ajoutez un client d'application et configurez l'interface utilisateur hébergée.

3.    Ajoutez un nom de domaine à votre groupe d'utilisateurs.

Remarque : si vous disposez déjà d'un environnement IAM Identity Center fonctionnel, ignorez la section suivante.

Activer IAM Identity Center et ajouter un utilisateur

1.    Avant d'activer IAM Identity Center, passez en revue les conditions préalables et considérations.

2.    Activez IAM Identity Center.

3.    Choisissez votre source d'identité et créez un utilisateur.

Configurer une application SAML à partir de la console IAM Identity Center

1.    Ouvrez la console IAM Identity Center, puis dans le volet de navigation, choisissez Applications.

2.    Choisissez Add application (Ajouter une application) et Add custom SAML 2.0 application (Ajouter une application SAML 2.0 personnalisée), puis choisissez Next (Suivant).

3.    Sur la page Configure application (Configurer l'application), saisissez un Display name (Nom d'affichage) pour votre application et une Description.

4.    Copiez l'URL du IAM Identity Center SAML metadata file (Fichier de métadonnées SAML de IAM Identity Center) ou choisissez le lien hypertexte Download (Télécharger). Vous utiliserez ces ressources dans les étapes suivantes pour créer un IdP dans un groupe d'utilisateurs.

5.    Sous Application metadata (Métadonnées de l'application), sélectionnez Manually type your metadata values (Saisissez manuellement vos valeurs de métadonnées). Fournissez ensuite les valeurs suivantes.

Important : veillez à remplacer les valeurs du domain-prefix (préfixe de domaine), de la region (région) et du userpool-id (identifiant du groupe d'utilisateurs) par des informations spécifiques à votre environnement.

URL de l'Assertion Consumer Service (ACS) de l'application : https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse Public cible de l'application SAML : urn:amazon:cognito:sp:<userpool-id>

6.    Sélectionnez Submit (Envoyer). Accédez ensuite à la page Details (Détails) de l'application que vous avez ajoutée.

7.    Sélectionnez la liste déroulante Actions et choisissez Edit attribute mappings (Modifier les mappages d'attributs). Fournissez ensuite les attributs suivants.

Attribut utilisateur dans l'application : subject (sujet)
Remarque : le subject (sujet) est prérempli.
Correspond à cette valeur de chaîne ou à cet attribut d'utilisateur dans IAM Identity Center : ${user:subject}
Format : Persistent (Permanent)

Attribut utilisateur dans l'application : email (e-mail)
Correspond à cette valeur de chaîne ou à cet attribut d'utilisateur dans IAM Identity Center : ${user:email} Format : Basic (Basique)

Les attributs mappés sont envoyés à Amazon Cognito lors de la connexion. Assurez-vous que tous les attributs requis de votre groupe d'utilisateurs sont mappés ici. Pour en savoir plus sur les attributs disponibles pour le mappage, veuillez consulter la rubrique Attributs IAM Identity Cente pris en charge.

8.    Enregistrez vos modifications.

9.    Cliquez sur le bouton Assign Users (Attribuer des utilisateurs), puis attribuez votre utilisateur à l'application.

Configurer IAM Identity Center en tant qu'IdP SAML dans votre groupe d'utilisateurs

1.    Configurez un SAML IdP dans votre groupe d'utilisateurs. Appliquez les paramètres suivants :

Sous Metadata document (Document de métadonnées), indiquez l'URL des métadonnées ou chargez le fichier que vous avez téléchargé à l'étape 4 de la section précédente. Pour en savoir plus, veuillez consulter la rubrique Intégration de fournisseurs d'identité SAML tiers avec des groupes d'utilisateurs Amazon Cognito.

Saisissez le Provider name (Nom du fournisseur) SAML. Pour en savoir plus, veuillez consulter la rubrique Choix de noms de fournisseur d'identité SAML.

(Facultatif) Saisissez tous les Identifiers (Identifiants) SAML.

2.    Configurez un mappage d'attributs de fournisseur SAML. Appliquez les paramètres suivants :

Dans le champ SAML attribute (Attribut SAML), indiquez une valeur d'email (e-mail) qui correspond à la valeur d'attribut utilisateur fournie à l'étape 7 de la section précédente. Dans le champ User pool attribute (Attribut du groupe d'utilisateurs), sélectionnez Email (E-mail) dans la liste déroulante.

Remarque : ajoutez tout autre attribut configuré dans IAM Identity Center à l'étape 7 de la section précédente.

3.    Enregistrez vos modifications.

Intégrer l'IdP au client d'application du groupe d'utilisateurs

1.    Connectez-vous à la console Amazon Cognito.

2.    Choisissez User Pools (Groupes d'utilisateurs) et sélectionnez un groupe d'utilisateurs approprié.

3.    Choisissez l'onglet App integration (Intégration d'application), puis choisissez App client list (Liste des clients d'application).

4.    Sélectionnez le client d'application approprié.

5.    Dans la section Hosted UI (Interface utilisateur hébergée), sélectionnez Edit (Modifier).

6.    Sélectionnez l'IdP approprié.

7.    Enregistrez vos modifications.

Tester la configuration

1.    Lancez une interface utilisateur hébergée ou construisez l'URL du point de terminaison de connexion en utilisant le modèle de dénomination suivant :

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Par exemple : https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

Pour les OAuth 2.0 grant types (Types d'octrois OAuth 2.0), choisissez Authorization code grant (Octroi de code d'autorisation) afin que le point de terminaison de connexion invite Amazon Cognito à renvoyer les codes d'autorisation lorsque les utilisateurs se connectent. Pour les OAuth 2.0 grant types (Types d'octrois OAuth 2.0), choisissez Implicit grant (Octroi implicite) pour qu'Amazon Cognito renvoie des jetons d'accès lorsque les utilisateurs se connectent. Remplacez ensuite response_type=code par response_type=token dans l'URL.

2.    Choisissez IAM IdC.

Si vous êtes redirigé vers l'URL de rappel de votre client d'application, cela signifie que vous êtes déjà connecté en tant qu'utilisateur dans votre navigateur. Les jetons du groupe d'utilisateurs apparaissent directement dans l'URL de la barre d'adresse du navigateur web.

Remarque : pour ignorer cette étape, créez une Authorize endpoint URL (URL d'autorisation du point de terminaison) avec le modèle de dénomination suivant :
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Entrez les informations d'identification de l'utilisateur et choisissez Login (Connexion).

4.    Lorsque vous êtes redirigé vers l'URL de rappel qui inclut un code ou un jeton d'Amazon Cognito dans la barre d'adresse du navigateur, la configuration est terminée.

Remarque : Amazon Cognito ne prend en charge que les ouvertures de session effectuées par le fournisseur de services (SP). Vous devez utiliser le point de terminaison de connexion ou le point de terminaison d'autorisation pour tester la configuration. L'ouverture d'une session par un IdP via le portail d'accès AWS pour IAM Identity Center ne fonctionne pas.

---