Come posso configurare Auth0 come gestore dell'identità digitale SAML con un pool di utenti Amazon Cognito?

Breve descrizione

Devi disporre di un pool di utenti Cognito con un client di app, un nome di dominio e un account Auth0 con un'applicazione Auth0. Per ulteriori informazioni, consulta Accesso al pool di utenti con gestori dell'identità digitale di terze parti e Utilizzo di gestori dell'identità digitale SAML con un pool di utenti.

Risoluzione

Crea un pool di utenti Amazon Cognito con un client di app e un nome di dominio

Per ulteriori informazioni, consulta la seguente documentazione di AWS:

• Aggiungi altre funzionalità e opzioni di sicurezza al tuo pool di utenti
  Nota: quando crei un pool di utenti, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni, consulta Utilizzo degli attributi utente.
• Accesso gestito dal pool di utenti
  Nota: un segreto del client di app è una configurazione opzionale.
• Configurazione del dominio di un pool di utenti

Registrati per creare un account Auth0

Se non disponi già di un account Auth0, creane uno sul sito web Auth0 Sign Up.

Crea un'applicazione Auth0

Completa i seguenti passaggi:

1. Nella dashboard Auth0, scegli Applications (Applicazioni), quindi seleziona Create Application (Crea applicazione).
2. Nella finestra di dialogo Create Application (Crea applicazione), inserisci un nome per l'applicazione, ad esempio My App (La mia app).
3. Per Choose an application type (Scegli un tipo di applicazione), seleziona Single Page Web Applications (Applicazioni web a pagina singola).
4. Scegli Crea.

Crea un utente di prova per l’applicazione Auth0

Completa i seguenti passaggi:

1. Nel pannello di navigazione della dashboard Auth0, scegli User Management (Gestione utenti), quindi seleziona Users (Utenti).
2. Scegli Create Your First User (Crea il primo utente) o Create User (Crea utente).
3. Nella finestra di dialogo Create User (Crea utente), inserisci un'e-mail e una password per l'utente di prova.
4. Scegli Save (Salva).

Configura le impostazioni SAML per l’applicazione

Completa i seguenti passaggi:

1. Nel pannello di navigazione della dashboard Auth0, scegli Applications (Applicazioni).
2. Scegli il nome dell'applicazione che hai creato.
3. Nella scheda Addons (Componenti aggiuntivi), attiva SAML2 Web App.
4. Nella finestra di dialogo Addon: SAML2 Web App (Componente aggiuntivo: SAML2 Web App), scegli la scheda Settings (Impostazioni) e, alla voce Application Callback URL (URL di callback dell'applicazione), inserisci: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Nota: sostituisci yourDomainPrefix e region con il prefisso del tuo dominio e la Regione AWS per il tuo pool di utenti. Puoi trovarli nella scheda Nome dominio della pagina Gestione del pool di utenti. Oppure inserisci l'URL di callback di un dominio personalizzato simile a https//yourCustomDomain/saml2/idpresponse.
5. In Settings (Impostazioni), per audience (destinatari), elimina il delimitatore di commento (//) e sostituisci il valore predefinito urn:foo con urn:amazon:cognito:sp:yourUserPoolId.
   Nota: sostituisci yourUserPoolId con l'ID del tuo pool di utenti Cognito. Puoi trovare l'ID nella scheda Impostazioni generali della pagina Gestione per il pool di utenti.
6. Per mappature ed e-mail, elimina i delimitatori di commento (//). Elimina tutti gli altri attributi utente richiesti dal pool di utenti.
7. Per nameIdenetifierFormat, elimina i delimitatori di commento (//). Sostituisci il valore predefinito urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified con urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Facoltativo) Scegli Debug. Per verificare che la configurazione funzioni, accedi come utente di prova.
9. Scegli Enable (Abilita), quindi seleziona Save (Salva).

Ottieni i metadati del gestore dell'identità digitale per l’applicazione Auth0

Nella finestra di dialogo Addon: SAML2 Web App (Componente aggiuntivo: SAML2 Web App), scegli la scheda Usage (Utilizzo) e individua Identity Provider Metadata (Metadati del gestore dell'identità digitale). Scegli download e annota l'URL. Oppure scegli download per scaricare il file di metadati .xml.

Configura Auth0 come gestore dell'identità digitale SAML in Amazon Cognito

Quando crei il gestore dell'identità digitale SAML, per Documento di metadati, incolla l'URL corrispondente ai metadati del gestore dell'identità digitale o carica il file di metadati .xml.

Per ulteriori informazioni, consulta Aggiungere e gestire i gestori dell'identità digitale SAML in un pool di utenti.

Mappa l'indirizzo e-mail dall'attributo del gestore dell'identità digitale sull'attributo del pool di utenti

In Attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Per Attributo pool di utenti, scegli Email.

Per ulteriori informazioni, consulta Mappatura degli attributi del gestore dell'identità digitale su profili e token.

Modifica le impostazioni del client di app in Cognito

Completa i seguenti passaggi:

1. Apri la console Cognito.
2. Seleziona il pool di utenti.
3. Nella pagina Gestione del pool di utenti, alla voce Applicazioni, scegli Select your desired app client (Seleziona il client di app desiderato).
4. In Pagine di accesso, modifica la configurazione delle pagine di accesso gestite.
5. In Provider di identità, seleziona Auth0 e Pool di utenti Cognito.
6. In URL di callback consentiti, inserisci l'URL a cui desideri che gli utenti vengano reindirizzati dopo l'accesso. Per testare l'autenticazione, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
7. In URL di disconnessione consentiti, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per testare l'autenticazione, puoi inserire qualsiasi URL valido, ad esempio https://www.amazon.com.
8. In Flussi OAuth consentiti, seleziona almeno Concessione implicita.
9. In Ambiti OAuth consentiti, seleziona almeno email e openid.
10. Scegli Salva le modifiche.

Per ulteriori informazioni, consulta Termini del client dell'app.

Verifica l'endpoint di accesso

Completa i seguenti passaggi:

1. Inserisci l'URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= nel browser web.
2. Sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Puoi trovarli alla voce Branding nella scheda Nome dominio della pagina Gestione per il pool di utenti.
3. Sostituisci yourClientId con l'ID del client di app e sostituisci redirectUrl con l'URL di callback del client di app. Puoi trovarli alla voce Applicazione nella scheda Impostazioni del client di app della pagina Gestione del pool di utenti. Per ulteriori informazioni, consulta L'endpoint di accesso gestito: /login.
4. Scegli Auth0.
   Nota: se vieni reindirizzato all'URL di callback del client di app, hai già effettuato l'accesso all'account Auth0 nel browser.
5. Nella pagina di accesso dell'applicazione Auth0, inserisci l'e-mail e la password dell'utente di prova.
6. Scegli Accedi.

Dopo aver effettuato l'accesso, verrai reindirizzato all'URL di callback del client di app. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.

Informazioni correlate

Comprensione dei token web JSON del pool di utenti (JWT)

Configurazione del tuo gestore dell'identità digitale SAML di terze parti

Come posso configurare un gestore dell'identità digitale SAML di terze parti con un pool di utenti Amazon Cognito?