Come faccio a configurare Okta come gestore dell’identità digitale OpenID Connect in un pool di utenti Amazon Cognito?

7 minuti di lettura
0

Voglio utilizzare Okta come gestore dell'identità digitale SAML 2.0 in un pool di utenti Amazon Cognito.

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite terzi (federazione), anche attraverso un provider di identità come Okta. Per ulteriori informazioni, consulta Aggiunta di un accesso al bacino d'utenza tramite terze parti e Aggiunta di provider di identità OIDC a un bacino d'utenza.

Un pool di utenti integrato con Okta consente agli utenti dell’applicazione Okta di ottenere i token del pool di utenti di Amazon Cognito. Per ulteriori informazioni, consulta Utilizzo di token con bacini d'utenza.

Risoluzione

Creazione di un pool di utenti Amazon Cognito con un client di app e un nome di dominio

  1. Crea un pool di utenti.
    Nota: Durante la creazione, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni, consulta Attributi del bacino d'utenza.
  2. Crea un client di app nel tuo pool di utenti. Per ulteriori informazioni, consulta Aggiunta di un client dell'app e configurazione dell'interfaccia utente ospitata.
  3. Aggiungi un nome di dominio per il tuo pool di utenti.

Registrazione di un account sviluppatore Okta

Nota: se hai già un account sviluppatore Okta, effettua l'accesso.

  1. Nella pagina Web di registrazione di Okta Developer, inserisci i tuoi dati personali, quindi seleziona SIGN UP. Il team di Okta Developer ti invierà un'e-mail di verifica all'indirizzo che hai fornito.
  2. Nell'e-mail di verifica troverai le informazioni per accedere all’account. Seleziona ACTIVATE, accedi e completa la creazione dell’account.

Creazione di un'app Okta

  1. Apri la Console Okta Developer. Per ulteriori informazioni sulla console, consulta Okta’s Redesigned Admin Console and Dashboard—Now in GA!nel blog di Okta Developer.
  2. Nel riquadro di navigazione, espandi la sezione Applicazioni, quindi scegli Applicazioni. Verrà visualizzata la Console delle applicazioni. Per ulteriori informazioni, consulta Console Amministratore nella pagina Organizzazioni Okta del sito Web Okta Developer.
  3. Scegli Crea l'integrazione app.
  4. Nella pagina Crea una nuova integrazione app, seleziona OpenID Connect, seleziona Applicazione Web, quindi scegli Avanti.

Configurazione delle impostazioni dell’app Okta

  1. Nella pagina Integrazione nuove app web, in Impostazioni generali, inserisci un nome per l’app. Ad esempio, TestApp.
  2. In Tipo Grant, verifica che la casella di controllo Codice di autorizzazione sia selezionata. Il pool di utenti utilizza questo flusso per comunicare con Okta OIDC per l'accesso degli utenti federati.
  3. In Sign-in redirect URIs, inserisci https://myUserPoolDomain/oauth2/idpresponse. Okta invierà la risposta di autenticazione e il token ID.
    Nota: sostituisci myUserPoolDomain con il dominio del pool di utenti Amazon Cognito. Puoi trovare il dominio nella console Amazon Cognito nella pagina Nome del dominio del pool di utenti.
  4. In CONFIGURE OPENID CONNECT, inserisci in Login redirect URIs l’URL di reindirizzamento https://myUserPoolDomain/oauth2/idpresponse. Okta invierà la risposta di autenticazione e il token ID.
    Nota: sostituisci myUserPoolDomain con il dominio del pool di utenti Amazon Cognito. Trova il dominio nella console Amazon Cognito, nella pagina Nome del dominio del pool di utenti.
  5. In Controlled access, seleziona l'impostazione di accesso preferita, quindi scegli Save.
  6. In Client Credentials, copia l'ID del client e il segreto del client. Queste credenziali sono necessarie per configurare Okta nel pool di utenti Amazon Cognito.
  7. Seleziona Sign On.
  8. Nella pagina Sign On, in OpenID Connect ID Token, annota l’URL dell’emittente. Hai bisogno di questo URL per configurare Okta nel pool di utenti.

Aggiunta di un provider di identità OIDC nel pool di utenti

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Federazione scegli Provider di identità.
  3. Scegli OpenID Connect.
  4. Effettua le seguenti operazioni:
    In Nome provider, inserisci un nome per l'IdP. Questo nome viene visualizzato nell'interfaccia utente Web ospitata da Amazon Cognito.
    Nota: non è possibile modificare questo campo dopo la creazione del provider. Se intendi includere questo campo nell’app o utilizzare l'interfaccia utente Web ospitata da Amazon Cognito, utilizza un nome che desideri venga visualizzato dagli utenti della app.
    In ID client, incolla l'ID del client che hai annotato in precedenza da Okta.
    Per Segreto client (opzionale), incolla il segreto del client che hai annotato in precedenza da Okta.
    Per il metodo della richiesta Attributi, lascia l'impostazione su GET.
    In Autorizza ambito, inserisci i valori dell'ambito OIDC che desideri autorizzare, separati da spazi. Per ulteriori informazioni, consulta Scope values nella OpenID Connect Basic Client Implementer's Guide 1.0 sul sito Web di OpenID.
    Importante: l'ambito openid è richiesto per i provider di identità OIDC ed è possibile aggiungere altri ambiti in base alla configurazione del pool di utenti. Ad esempio, se hai conservato email come attributo obbligatorio durante la creazione del pool di utenti, inserisci email openid per includere entrambi gli ambiti. Puoi mappare l'attributo email al pool di utenti più avanti in questa configurazione.
    Per Emittente, incolla l'URL dell'emittente che hai copiato in precedenza da Okta.
    In Identificatori (opzionale), puoi inserire facoltativamente una stringa personalizzata da utilizzare in seguito nell'URL dell'endpoint al posto del nome del provider di identità OIDC.
  5. Scegli Esegui rilevamento per recuperare gli endpoint di configurazione OIDC per Okta.
  6. Scegli Crea provider.

Per ulteriori informazioni, consulta Aggiunta di provider di identità OIDC a un bacino d'utenza.

Modifica delle impostazioni del client di app del pool di utenti

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Integrazione app, scegli Impostazioni del client di app.
  3. Nella pagina del client di app, procedi come segue:
    In Provider di identità abilitati, seleziona la casella di controllo del provider di identità OIDC che hai creato in precedenza.
    (Facoltativo) Seleziona la casella di controllo Pool di utenti Cognito.
    In URL di callback, inserisci l’URL a cui desideri che gli utenti vengano reindirizzati dopo l'accesso. Per i test, puoi inserire qualsiasi URL valido, ad esempio https://example.com/.
    In URL di disconnessione, inserisci l’URL a cui desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per i test, puoi inserire qualsiasi URL valido, ad esempio https://example.com/.
    In Flussi OAuth consentiti, seleziona i flussi che corrispondono ai tipi di concessione che desideri che la tua applicazione riceva dopo l'autenticazione da Cognito.
    Nota: i flussi OAuth consentiti che abiliti determinano i valori (codice o token) che puoi utilizzare per il parametro response_type nell'URL dell'endpoint.
    In Ambiti OAuth consentiti, assicurati di selezionare almeno le caselle di controllo email e openid.
  4. Scegli Salva modifiche.

Per ulteriori informazioni, consulta Terminologia delle impostazioni del client dell'app.

Mappatura dell'attributo email a un attributo del pool di utenti

Se in precedenza hai autorizzato il valore email dell'ambito OIDC, associalo a un attributo del pool di utenti.

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Federazione scegli Mappatura degli attributi.
  3. Nella pagina di mappatura degli attributi, scegli la scheda OIDC.
  4. Se disponi di più provider OIDC nel pool di utenti, scegli il nuovo provider nell'elenco a discesa.
  5. Verifica che l'attributo OIDC sub sia mappato all'attributo Nome utente del pool di utenti.
  6. Scegli Aggiungi attributo OIDC, quindi effettua le seguenti operazioni:
    In attributo OIDC, inserisci email.
    In Attributo pool di utenti, scegli Email.

Per ulteriori informazioni, consulta Specificare le mappature degli attributi del gestore dell’identità digitale per il pool di utenti.

Esecuzione dell’accesso per provare la configurazione

Effettua l'autenticazione con Okta utilizzando l'interfaccia utente Web ospitata da Amazon Cognito. Dopo avere effettuato l'accesso, verrai reindirizzato all'URL di callback del client di app. Il codice di autorizzazione o i token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser Web.

Per ulteriori informazioni, consulta Utilizzo dell'interfaccia utente ospitata di Amazon Cognito per la registrazione e l'accesso.

Informazioni correlate

Flusso di autenticazione IdP del bacino d'utenza OIDC

Come faccio a configurare Okta come gestore dell’identità digitale SAML in un pool di utenti Amazon Cognito?

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa