Come posso configurare Auth0 come gestore dell'identità digitale SAML con un pool di utenti Amazon Cognito?

Breve descrizione

Devi disporre di un pool di utenti Cognito con un client dell'app, un nome di dominio e un account Auth0 con un'applicazione Auth0. Per ulteriori informazioni, consulta User pool sign-in with third party identity providers (Accesso al pool di utenti con gestori dell'identità digitale di terze parti) e Using SAML identity providers with a user pool (Utilizzo di gestori dell'identità digitale SAML con un pool di utenti).

Risoluzione

Crea un pool di utenti Amazon Cognito con un client dell'app e un nome di dominio

Per ulteriori informazioni, consulta la seguente documentazione di AWS:

• Add more features and security options to your user pool (Aggiunta altre funzionalità e opzioni di sicurezza a un pool di utenti) Nota: quando crei un pool di utenti, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni, consulta Working with user attributes (Utilizzo degli attributi utente).
• User pool managed login (Accesso gestito del pool di utenti) Nota: un segreto del client dell'app è una configurazione opzionale.
• Configurazione del dominio di un pool di utenti

Registrati per creare un account Auth0

Se non disponi già di un account Auth0, creane uno sul sito web Auth0 Sign Up.

Crea un'applicazione Auth0

Completa i seguenti passaggi:

1. Nella dashboard Auth0, scegli Axpplications (Applicazioni), quindi scegli Create Application (Crea applicazione).
2. Nella finestra di dialogo Create Application (Crea applicazione), inserisci un nome per l'applicazione, ad esempio My App (La mia app).
3. In Choose an application type (Scegli un tipo di applicazione), scegli Single Page Web Applications (Applicazioni web a pagina singola).
4. Scegli Crea.

Crea un utente di prova per l’applicazione Auth0

Completa i seguenti passaggi:

1. Nel pannello di navigazione della dashboard Auth0, scegli User Management (Gestione utenti), quindi scegli Users (Utenti).
2. Scegli Create Your First User (Crea il primo utente) o Create User (Crea utente).
3. Nella finestra di dialogo Create User (Crea utente), inserisci un'e-mail e una password per l'utente di prova.
4. Scegli Save (Salva).

Configura le impostazioni SAML per l’applicazione

Completa i seguenti passaggi:

1. Nel pannello di navigazione della dashboard Auth0, scegli Applications (Applicazioni).
2. Scegli il nome dell'applicazione che hai creato.
3. Nella scheda Addons (Componenti aggiuntivi), attiva SAML2 Web App.
4. Nella finestra di dialogo Addon: SAML2 Web App (Componente aggiuntivo: SAML2 Web App), nella scheda Settings (Impostazioni) per Application Callback URL (URL di callback dell'applicazione), inserisci: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: sostituisci yourDomainPrefix e region con il prefisso del tuo dominio e la Regione AWS per il tuo pool di utenti. Puoi trovarli nella scheda Nome dominio della pagina Gestione del pool di utenti. Oppure inserisci l'URL di callback di un dominio personalizzato simile a https//yourCustomDomain/saml2/idpresponse.
5. In Settings (Impostazioni), per audience (destinatari), elimina il delimitatore di commento (//) e sostituisci il valore predefinito urn:foo con urn:amazon:cognito:sp:yourUserPoolId.
   Nota: sostituisci yourUserPoolId con l'ID del tuo pool di utenti Cognito. Puoi trovare l'ID nella scheda Impostazioni generali della pagina Gestione per il pool di utenti.
6. Per mappings (mappature) e email (e-mail), elimina i delimitatori di commento (//). Elimina tutti gli altri attributi utente richiesti dal pool di utenti.
7. Per nameIdenetifierFormat, elimina i delimitatori di commento (//). Sostituisci il valore predefinito urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified con urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Facoltativo) Scegli Debug. Per verificare che la configurazione funzioni, accedi come utente di prova.
9. Scegli Enable (Abilita), quindi scegli Save (Salva).

Ottenere i metadati IdP per l’applicazione Auth0

Nella finestra di dialogo Addon: SAML2 Web App (Componente aggiuntivo: SAML2 Web App), nella scheda Usage (Utilizzo), trova Identity Provider Metadata (Metadati gestore identità digitale). Scegli download, quindi annota l'URL. Oppure scegli download per scaricare il file di metadati .xml.

Configura Auth0 come IdP SAML in Amazon Cognito

Quando crei l'IdP SAML, per Documento di metadati, incolla l'URL corrispondente ai metadati del gestore dell'identità digitale o carica il file di metadati .xml.

Per ulteriori informazioni, consulta Adding and managing SAML identity providers in a user pool (Aggiunta e gestione di gestori dell'identità digitale SAML in un pool di utenti).

Mappa l'indirizzo e-mail dall'attributo IdP all'attributo del pool di utenti

In Attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. In Attributo pool di utenti, scegli Email.

Per ulteriori informazioni, consulta Mapping IdP attributes to profiles and tokens (Mappatura di attributi IdP su profili e token).

Modifica le impostazioni del client dell'app in Cognito

Completa i seguenti passaggi:

1. Apri la console Cognito.
2. Seleziona il pool di utenti.
3. Nella pagina Gestione del pool di utenti, in ** Applicazioni**, scegli Select your desired app client (Seleziona il client dell'app desiderato).
4. In Pagine di accesso, modifica la configurazione delle pagine di accesso gestite.
5. In Provider di identità, seleziona Auth0 e Pool di utenti Cognito.
6. In URL di callback consentiti, inserisci l'URL a cui desideri che gli utenti vengano reindirizzati dopo l'accesso. Per testare l'autenticazione, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
7. In URL di disconnessione consentiti, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per testare l'autenticazione, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
8. In Flussi OAuth consentiti, seleziona almeno Concessione implicita.
9. In Ambiti OAuth consentiti, seleziona almeno email e openid.
10. Scegli Salva modifiche.

Per ulteriori informazioni, consulta App client terms (Termini del client dell'app).

Verifica l'endpoint di accesso

Completa i seguenti passaggi:

1. Inserisci l'URLhttps://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= nel browser web.
2. Sostituisci yourDomainPrefix e region con i valori per il tuo pool di utenti. Puoi trovarli alla voce Branding nella scheda Nome dominio della pagina Gestione per il pool di utenti.
3. Sostituisci yourClientId con l'ID del tuo client dell'app redirectUrl con l'URL di callback del client dell'app. Puoi trovarli alla voce Applicazione nella scheda Impostazioni del client di app della pagina Gestione per il pool di utenti. Per ulteriori informazioni, consulta The managed login sign-in endpoint: /login (L'endpoint di accesso gestito: /login).
4. Scegli Auth0.
   Nota: se vieni reindirizzato all'URL di callback del client dell'app, hai già effettuato l'accesso all'account Auth0 nel browser.
5. Nella pagina di accesso dell'applicazione Auth0, inserisci l'e-mail e la password dell'utente di prova.
6. Scegli Accedi.

Dopo aver effettuato l'accesso, verrai reindirizzato all'URL di callback del client dell'app. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.

Informazioni correlate

Understanding user pool JSON web tokens (JWTs) (Funzione dei token web JSON del pool di utenti (JWT))

Configuring your third-party SAML identity provider (Configurazione di un gestore dell'identità digitale SAML di terze parti)

Come posso configurare un gestore dell'identità digitale SAML di terze parti con un pool di utenti Amazon Cognito?