Come faccio a configurare OneLogin come provider di identità SAML con un pool di utenti Amazon Cognito?

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite una terza parte (federazione). Ciò include tramite un IdP SAML come OneLogin. Per ulteriori informazioni, consulta Aggiunta di un accesso al pool di utenti tramite terze parti e Aggiunta di provider di identità SAML a un pool di utenti. Per configurare OneLogin come provider di identità SAML, sono necessari un pool di utenti Amazon Cognito e un account OneLogin con un'applicazione.

Risoluzione

Creare un pool di utenti Amazon Cognito con un client di app e un nome di dominio

Per ulteriori informazioni, consulta quanto segue:

• Tutorial: Creazione di un pool di utenti
• Configurazione dell'interfaccia utente host con la console Amazon Cognito
• Configurazione di un pool di utenti

Nota: Quando crei un pool di utenti, l'attributo standard e-mail è selezionato per impostazione predefinita. Per ulteriori informazioni, vedere Attributi del pool di utenti.

Creazione di un account OneLogin

1. Apri il sito Web OneLogin, quindi scegli Prova gratuita.
2. Nella pagina di creazione dell'account, sotto Your OneLogin Domain, annota il dominio fornito da OneLogin.

Crea un'applicazione OneLogin

1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Amministrazione.
2. Nella pagina Amministrazione, passa il mouse su App, quindi scegli Aggiungi app.
3. Nella barra di ricerca sotto Trova applicazioni, inserisci saml, quindi scegli SAML Test Connector (IdP). La pagina Aggiungi SAML Test Connector (IdP).
4. (Facoltativo) Nella pagina Aggiungi SAML Test Connector (IdP), completa uno dei seguenti passaggi:
   In Display Name, inserisci un nome e una descrizione. Ad esempio, Cognito Setup (IdP).
   In Rectangular Icon e Square Icon, carica le icone delle miniature seguendo le specifiche riportate nella pagina.
   In Description, inserisci una breve descrizione riassuntiva. Ad esempio, Per il pool di utenti Amazon Cognito.
5. Scegli Salva.

Modifica della configurazione dell'applicazione OneLogin

1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Configurazione.
2. Nella pagina Configurazione, completa i seguenti passaggi:
   In RelayState, inserisci un URL valido, ad esempio https://www.example.com.
   In Audience, inserisci urn:amazon:cognito:sp:yourUserPoolId.
   Per Destinatario, inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Per ACS (Consumer) URL Validator, inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Per URL ACS (Consumer), inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Per Single Logout URL, lascia il campo vuoto.
   **Nota:**In Audience, sostituisci yourUserPoolId con l'ID del pool di utenti Amazon Cognito. L'ID è disponibile nella console Amazon Cognito nella scheda Impostazioni generali della pagina di gestione del pool di utenti.
   In ACS (Consumer) URL Validator e ACS (Consumer) URL, sostituisci yourDomainPrefix e region con i valori del pool di utenti. Puoi trovare i valori nella console Amazon Cognito nella scheda Nome dominio della pagina di gestione del tuo pool di utenti.

Modifica parametri dell'applicazione OneLogin

1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Parametri.
   Nota: La pagina Parametri elenca il parametro NameID (fka Email) per impostazione predefinita.
2. Scegli Aggiungi parametro per creare un nuovo parametro personalizzato.
3. Nella finestra di dialogo New Field, in Field name inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
4. In Flags, seleziona la casella di controllo Include in SAML assertion.
5. Scegli Salva.
6. In Value, scegli Email nell'elenco.
7. Scegli Salva.

Copia dei metadati del IdP per l'applicazione OneLogin

1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli SSO.
2. Sotto URL dell'emittente, copia l'URL.
3. Scegli Salva.

Configurazione di OneLogin come provider di identità SAML in Amazon Cognito

Per configurare OneLogin come IdP SAML in Amazon Cognito, consulta Creazione e gestione di un provider di identità SAML per un pool di utenti (Console di gestione AWS). Segui le istruzioni riportate inPer configurare un provider di identità SAML 2.0 nel bacino d'utenza. Quando crei il documento SAML IdP, for Documento metadata, inserisci l'URL dell'emittente copiato.

Mappatura dell'indirizzo e-mail dall'attributo del provider di identità all'attributo del pool di utenti

Per mappare l'indirizzo e-mail dall'attributo IdP all'attributo del pool di utenti, vedere Specificazione delle mappature degli attributi del provider di identità per il pool di utenti. Segui le istruzioni riportate in Specificazione di mappatura di attributo del provider SAML. Quando aggiungi un attributo SAML in Mappatura degli attributi, in Attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Per l'attributo del pool di utenti, scegli E-mail dall'elenco.

Modifica delle impostazioni del cliente di app in Amazon Cognito

Nota: questa è una configurazione di esempio a scopo di test. Per una configurazione di produzione, è consigliabile impostare il client di app utilizzando il flusso OAuth di Concessione del codice di autorizzazione. Quando utilizzi quel flusso, viene inviato un codice di autorizzazione dopo l'autenticazione nell'URL di reindirizzamento. È necessario scambiare il codice di autorizzazione dei token Web JSON (JWT) effettuando una richiesta all'endpoint del token.

1. Nella console Amazon Cognito, in integrazione app, scegli **Impostazione app cliente **. Quindi completa i seguenti passaggi:
   In Provider di identità abilitati, seleziona la casella di controllo Seleziona tutto.
   Per gli URL di callback, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo l'accesso. Per il test, inserisci un URL valido, ad esempio https://www.example.com.
   Per URL di disconnessione, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per il test, inserisci un URL valido, ad esempio https://www.example.com.
   Sotto Flussi OAuth consentiti, seleziona almeno la casella di controllo Concessione implicita.
   In Ambiti OAuth consentiti, assicurati di selezionare almeno le caselle di controllo email e openid.
2. Scegli Salva modifiche. Per ulteriori informazioni, consulta Aggiornamento di un'app cliente per pool di utenti (CLI AWS e API AWS).

Test dell'endpoint di accesso

1. Nel browser, inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
   Nota: Sostituisci **yourDomainPrefix ** e region con i valori per il tuo pool di utenti. Puoi trovarli nella console Amazon Cognito, nella scheda Nome del dominio della pagina di gestione del pool di utenti. Sostituisci yourClientId con l'ID dell'app clienre e sostituisci redirectUrl con l'URL di callback dell'app cliente. Puoi trovarli nella console Amazon Cognito nella scheda Impostazioni dell'app cliente della pagina di gestione del tuo pool di utenti. Per ulteriori informazioni, consulta Come faccio a configurare l'interfaccia utente Web ospitata per Amazon Cognito? ed Endpoint Login.
2. Scegli OneLogin.
   Nota: Se vieni reindirizzato all'URL di callback del client di app, significa che hai già effettuato l'accesso all'account OneLogin nel browser. Tutte le impostazioni sono corrette.
3. Nella pagina OneLogin, in Nome utente, inserisci il nome utente dell'account OneLogin.
4. Scegli Continua.
5. Per Password, inserisci la password dell'account OneLogin.
6. Scegli Continua.

Informazioni correlate

Integrazione di provider di identità SAML di terze parti con bacini d'utenza di Amazon Cognito

Flusso di autenticazione IdP del bacino d'utenza SAML