Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come faccio a configurare Okta come gestore dell’identità digitale SAML in un pool di utenti Amazon Cognito?

9 minuti di lettura
0

Voglio utilizzare Okta come gestore dell'identità digitale del Security Assertion Markup Language 2.0 (SAML 2.0) in un pool di utenti Amazon Cognito.

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite terzi (federazione), anche attraverso un gestore dell’identità come Okta. Per ulteriori informazioni, consulta Aggiungere l'accesso al pool di utenti tramite una terza parte e Aggiungere i gestori dell’identità SAML a un pool di utenti.

Un pool di utenti integrato con Okta consente agli utenti dell’applicazione Okta di ottenere i token del pool di utenti di Amazon Cognito. Per ulteriori informazioni, consulta Utilizzo di token con bacini d'utenza.

Risoluzione

Creazione di un pool di utenti Amazon Cognito con un client di app e un nome di dominio

  1. Crea un pool di utenti.
    Nota: durante la creazione, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni, consulta Attributi del pool di utenti.
  2. Crea un client di app nel tuo pool di utenti. Per ulteriori informazioni, consulta Aggiungi un client di app e configura l'interfaccia utente ospitata.
    Nota: Quando aggiungi un client di app, deseleziona la casella di controllo Genera segreto del client. In alcuni flussi di autorizzazione, come il flusso di concessione del codice di autorizzazione e il flusso di aggiornamento del token, i server di autorizzazione utilizzano un segreto del client di app per autorizzare un client a effettuare richieste per conto di un utente. Per il flusso di concessioni implicite utilizzato in questa configurazione, non è necessario un segreto del client di app.
  3. Aggiungi un nome di dominio per il tuo pool di utenti.

Registrazione di un account sviluppatore Okta

Nota: Se hai già un account sviluppatore Okta, effettua l'accesso.

  1. Nella pagina web di registrazione di Okta Developer, inserisci le informazioni richieste, quindi seleziona ISCRIVITI. Il team di Okta Developer ti invierà un'e-mail di verifica all'indirizzo che hai fornito.
  2. Nell'e-mail di verifica troverai le informazioni per accedere all’account. Seleziona ATTIVA IL MIO ACCOUNT, accedi e completa la creazione del tuo account.

Crea un'app SAML in Okta

  1. Apri la Console Okta Developer. Per ulteriori informazioni, consulta la sezione Console e dashboard di amministrazione riprogettate di Okta sul sito Web di Okta.
  2. Nel menu di navigazione, espandi la sezione Applicazioni, quindi scegli Applicazioni.
  3. Scegli Crea integrazione di app.
  4. Nel menu Crea una nuova integrazione di app, seleziona SAML 2.0 come metodo di accesso.
  5. Seleziona Avanti.

Per ulteriori informazioni, consulta la sezione Prepara un'integrazione SAML nella guida Costruisci un'integrazione di Autenticazione unica (SSO) sul sito web di Okta Developer.

Configura l'integrazione SAML per la tua app Okta

  1. Nella pagina Crea integrazione SAML, in Impostazioni generali, inserisci un nome per la tua app.
  2. (Facoltativo) Carica un logo e scegli le impostazioni di visibilità per la tua app.
  3. Seleziona Avanti.
  4. In GENERALE, per URL di autenticazione unica, inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Nota: Sostituisci yourDomainPrefix e region con i valori per il tuo pool di utenti. Trova questi valori nella console Amazon Cognito nella pagina del nome di dominio del tuo pool di utenti.
  5. Per Audience URI (SP Entity ID), inserisci urn:amazon:cognito:sp:yourUserPoolId.
    Nota: Sostituisci yourUserPoolId con l'ID del tuo pool di utenti Amazon Cognito. Trova questo valore nella console Amazon Cognito nella pagina delle impostazioni generali del tuo pool di utenti.
  6. In DICHIARAZIONI DEGLI ATTRIBUTI (FACOLTATIVO), aggiungi una dichiarazione con le seguenti informazioni:
    In Nome, inserisci il nome dell'attributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    Per Valore, inserisci user.email.
  7. Per tutte le altre impostazioni della pagina, lascia i valori predefiniti o impostali secondo le tue preferenze.
  8. Seleziona Avanti.
  9. Scegli un feedback di risposta per l'assistenza Okta.
  10. Scegli Fine.

Per ulteriori informazioni, consulta la sezione Creare la tua integrazione nella guida Costruire un'integrazione Single Sign-On (SSO) sul sito web di Okta Developer.

Assegnare un utente alla tua applicazione Okta

  1. Nella scheda Assegnazioni dell'app Okta, in corrispondenza di Assegna, seleziona Assegna a persone.
  2. Seleziona Assegna accanto all'utente che desideri assegnare.
    Nota: Se si tratta di un nuovo account, potrai solo scegliere te stesso (l'amministratore) come utente.
  3. (Facoltativo) Per Nome utente, inserisci un nome utente o lascialo come indirizzo e-mail dell'utente, se lo desideri.
  4. Scegli Salva e torna indietro. L'utente è assegnato.
  5. Seleziona Fine.

Per ulteriori informazioni, consulta la sezione Assegna utenti nella guida Costruisci un'integrazione Autenticazione unica (SSO) sul sito web di Okta Developer.

Ottieni i metadati dell'IdP per la tua applicazione Okta

Nella scheda Accedi della tua app Okta, trova il collegamento ipertestuale ai metadati del Gestore dell’identità digitale. Clicca con il pulsante destro del mouse sul collegamento ipertestuale, quindi copia l'URL.

Per ulteriori informazioni, consulta la sezione Specifica le impostazioni di integrazione nella guida Costruisci un'integrazione Autenticazione unica (SSO) sul sito web di Okta Developer.

Configura Okta come IdP SAML nel tuo pool di utenti

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Federazione scegli Gestori dell’identità.
  3. Scegli SAML.
  4. In Documento metadati, incolla l'URL dei metadati del Gestore dell’identità digitale che hai copiato.
  5. In Nome gestore, inserisci Okta. Per ulteriori informazioni, consulta Scegliere i nomi dei gestori dell’identità SAML.
  6. (Facoltativo) Inserisci qualsiasi identificatore SAML (Identificatori (Facoltativo)) e attiva la disconnessione dall'IdP (Okta) quando gli utenti si disconnettono dal tuo pool di utenti.
  7. Scegli Crea gestore.

Per ulteriori informazioni, consulta Creare e gestire un gestore dell’identità digitale SAML per un pool di utenti (Console di gestione AWS).

Mappatura dell'indirizzo e-mail dall'attributo IdP all'attributo del pool di utenti

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Federazione scegli Mappatura degli attributi.
  3. Nella pagina di mappatura degli attributi, scegli la scheda SAML.
  4. Scegli Aggiungi attributo SAML.
  5. In Attributo SAML, inserisci il nome dell'attributo SAML http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
  6. Per Attributo pool di utenti, scegli Email dall'elenco.

Per ulteriori informazioni, consulta Specificare le mappature degli attributi del gestore dell’identità digitale per il pool di utenti.

Modifica delle impostazioni del client di app del pool di utenti

  1. Nella console Amazon Cognito, scegli Gestisci pool di utenti, quindi scegli il pool di utenti.
  2. Nel riquadro di navigazione a sinistra, in Integrazione app, scegli Impostazioni del client di app.
  3. Nella pagina del client di app, procedi come segue:
    In Gestori dell’identità abilitati, seleziona le caselle di controllo Okta e Pool di utenti Cognito.
    Per gli URL di callback, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo l'accesso. Per il test, inserisci un URL valido, ad esempio https://www.example.com/.
    Per URL di disconnessione, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per il test, inserisci un URL valido, ad esempio https://www.example.com/.
    In Flussi OAuth consentiti, assicurati di selezionare almeno la casella di controllo Concessione implicita.
    In Ambiti OAuth consentiti, assicurati di selezionare almeno le caselle di controllo e-mail e openid.
  4. Scegli Salva modifiche.

Per ulteriori informazioni, consulta Terminologia delle impostazioni del client dell'app.

Crea l'URL dell'endpoint

Utilizzando i valori del tuo pool di utenti, crea questo URL dell'endpoint di accesso: https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Assicurati di fare quanto segue:

  • Sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Trova questi valori nella console Amazon Cognito nella pagina del nome di dominio del tuo pool di utenti.
  • Sostituisci yourClientId con l'ID del client di app e sostituisci redirectUrl con l'URL di callback del client di app. Trova questi valori nella console Amazon Cognito nella pagina delle impostazioni del client di app del tuo pool di utenti.

Per ulteriori informazioni, consulta Come faccio a configurare l'interfaccia utente web ospitata per Amazon Cognito? ed Endpoint Login.

Verifica l'URL dell'endpoint

  1. Inserisci l'URL dell'endpoint di accesso creato nel tuo browser web.
  2. Nella pagina web del tuo endpoint di accesso, scegli Okta.
    Nota: Se vieni reindirizzato all'URL di callback del client di app, hai già effettuato l'accesso al tuo account Okta nel tuo browser. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.
  3. Nella pagina di accesso di Okta, inserisci il nome utente e la password dell'utente che hai assegnato alla tua app.
  4. Seleziona Accedi.

Dopo l'accesso, verrai reindirizzato all'URL di callback del client di app. I token del pool di utenti vengono visualizzati nell'URL nella barra degli indirizzi del browser web.

(Facoltativo) Ignora l'interfaccia utente ospitata da Amazon Cognito

Se desideri che i tuoi utenti ignorino l'interfaccia utente web ospitata da Amazon Cognito quando accedono alla tua app, utilizza invece questo URL dell'endpoint:

https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

Assicurati di fare quanto segue:

  • Sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Trova questi valori nella console Amazon Cognito nella pagina del nome di dominio del tuo pool di utenti.
  • Sostituisci samlProviderName con il nome del gestore SAML nel tuo pool di utenti (Okta).
  • (Facoltativo) Se hai aggiunto un identificatore per il tuo IdP SAML in precedenza nel campo Identificatori (opzionale), sostituisci identity_provider=samlProviderName con idp_identifier=idpIdentifier, sostituendo idpIdentifier con la tua stringa identificativa personalizzata.
  • Sostituisci yourClientId con l'ID del client di app e sostituisci redirectUrl con l'URL di callback del client di app. Trova questi valori nella console Amazon Cognito nella pagina delle impostazioni del client di app del tuo pool di utenti.
  • Sostituisci allowedOauthScopes con gli ambiti specifici che desideri che il client di app Amazon Cognito richieda. Ad esempio, scope=email+openid.

Per ulteriori informazioni, consulta Come faccio a configurare l'interfaccia utente web ospitata per Amazon Cognito? e Endpoint di autorizzazione.

Informazioni correlate

Flusso di autenticazione IdP del pool di utenti SAML

Come faccio a configurare un gestore dell’identità digitale SAML di terze parti con un pool di utenti Amazon Cognito?

Come faccio a configurare Okta come gestore dell’identità digitale OpenID Connect in un pool di utenti Amazon Cognito?

Argomenti
Sicurezza, identità e conformità
Tag
Amazon Cognito
Lingua
Italiano

Video correlati

Guarda il video di Kashif per saperne di più (6:21)
Guarda il video di Kashif per saperne di più (6:21)
AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente