Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso configurare OneLogin come gestore dell'identità digitale SAML con un pool di utenti Amazon Cognito?

6 minuti di lettura
0

Desidero utilizzare OneLogin come gestore dell'identità digitale Security Assertion Markup Language 2.0 (SAML 2.0) con un pool di utenti Amazon Cognito.

Breve descrizione

I pool di utenti di Amazon Cognito consentono l'accesso tramite una terza parte (federazione), che può essere un gestore dell'identità digitale SAML come OneLogin. Per ulteriori informazioni, consulta Accesso al pool di utenti con gestori dell'identità digitale di terze parti e Utilizzo di gestori dell'identità digitale SAML con un pool di utenti. Per configurare OneLogin come gestore dell'identità digitale SAML, servono un pool di utenti Amazon Cognito e un account OneLogin con un'applicazione.

Risoluzione

Crea un pool di utenti Amazon Cognito con un client di app e un nome di dominio

Per ulteriori informazioni, consulta:

Nota: quando crei un pool di utenti, l'attributo standard email è selezionato per impostazione predefinita. Per ulteriori informazioni, consulta Attributi del pool di utenti.

Crea un account OneLogin

  1. Apri il sito Web OneLogin, quindi scegli Free trial (Prova gratuita).
  2. Nella pagina di creazione dell'account, alla voce Your OneLogin Domain (Il tuo dominio OneLogin), annota il dominio fornito da OneLogin.

Crea un'applicazione OneLogin

  1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Administration (Amministrazione).
  2. Nella pagina Amministrazione, passa il mouse su App, quindi scegli Add apps (Aggiungi app).
  3. Nella barra di ricerca, alla voce Find Applications (Trova applicazioni), inserisci saml, quindi scegli SAML Test Connector (IdP). Dopodiché seleziona la pagina Add SAML Test Connector (IdP) (Aggiungi SAML Test Connector (IdP)).
  4. (Facoltativo) Nella pagina Add SAML Test Connector (IdP) (Aggiungi SAML Test Connector (IdP)), completa uno dei seguenti passaggi:
    In Display Name (Nome visualizzato), inserisci un nome e una descrizione. Ad esempio, Cognito Setup (IdP) (Configurazione Cognito (gestore dell'identità digitale)).
    Per Rectangular Icon (Icona rettangolare) e Square Icon (Icona quadrata), carica le icone delle miniature seguendo le specifiche riportate nella pagina.
    In Description (Descrizione), inserisci una breve descrizione riepilogativa. Ad esempio, For Amazon Cognito user pool (Per pool di utenti Amazon Cognito).
  5. Scegli Save (Salva).

Modifica la configurazione dell'applicazione OneLogin

  1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Configuration (Configurazione).
  2. Nella pagina Configuration (Configurazione), completa i seguenti passaggi:
    In RelayState, inserisci un URL valido, ad esempio https://www.example.com.
    In Audience (Destinatari), inserisci urn:amazon:cognito:sp:yourUserPoolId.
    In Recipient (Destinatario), inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    In ACS (Consumer) URL Validator (Validatore URL ACS (consumer)), inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    In ACS (Consumer) URL (URL ACS (consumer)), inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
    Per Single Logout URL (URL disconnessione singola), lascia il campo vuoto.
    Nota: in Audience (Destinatari), sostituisci yourUserPoolId con l'ID del tuo pool di utenti Amazon Cognito. L'ID è disponibile nella console Amazon Cognito selezionando la scheda Impostazioni generali della pagina di gestione del pool di utenti.
    Per ACS (Consumer) URL Validator (Validatore URL ACS (consumer)) e ACS (Consumer) URL (URL ACS (consumer)), sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Puoi trovare i valori nella console Amazon Cognito selezionando la scheda Nome dominio della pagina di gestione del pool di utenti.

Modifica i parametri dell'applicazione OneLogin

  1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli Parameters (Parametri).
    Nota: la pagina Parameters (Parametri) riporta il parametro NameID (fka Email) per impostazione predefinita.
  2. Scegli Add parameter (Aggiungi parametro) per creare un nuovo parametro personalizzato.
  3. Nella finestra di dialogo New Field (Nuovo campo), alla voce Field name (Nome campo), inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
  4. Per Flags (Flag), seleziona la casella di controllo Include in SAML assertion (Inclusi in asserzione SAML).
  5. Scegli Save (Salva).
  6. Per Value (Valore), scegli Email (E-mail) nell'elenco.
  7. Scegli Save (Salva).

Copia i metadati del gestore dell'identità digitale per l'applicazione OneLogin

  1. Nella pagina del portale OneLogin (https://your-new-domain.onelogin.com/portal/), scegli SSO.
  2. Alla voce Issuer URL (URL emittente), copia l'URL.
  3. Scegli Save (Salva).

Configura OneLogin come gestore dell'identità digitale SAML in Amazon Cognito

Per configurare OneLogin come gestore dell'identità digitale SAML in Amazon Cognito, consulta Aggiungere e gestire i gestori dell'identità digitale SAML in un pool di utenti. Segui le istruzioni riportate in Per configurare un gestore dell'identità digitale SAML 2.0 nel pool di utenti. Quando crei il gestore dell'identità digitale SAML, in Documento di metadati, inserisci l'URL emittente copiato.

Mappa l'indirizzo e-mail dall'attributo del gestore dell'identità digitale sull'attributo del pool di utenti

Per mappare l'indirizzo e-mail dall'attributo IdP sull'attributo del pool di utenti, consulta Specificazione di mappature degli attributi del gestore dell'identità digitale per il pool di utenti (Console di gestione AWS). Segui le istruzioni riportate in Specificazione di mappatura di attributo del gestore SAML. Quando aggiungi un attributo SAML alla voce Mappatura degli attributi, in Attributo SAML, inserisci http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Per Attributo pool di utenti, scegli E-mail dall'elenco.

Modifica le impostazioni del cliente di app in Amazon Cognito

Nota: questo è un esempio di configurazione di prova. Per una configurazione di produzione, è consigliabile impostare il client di app utilizzando il flusso OAuth Concessione del codice di autorizzazione. Quando utilizzi quel flusso, ricevi un codice di autorizzazione dopo l'autenticazione nell'URL di reindirizzamento. Devi effettuare una richiesta all'endpoint del token per scambiare il codice di autorizzazione con token web JSON (JWT).

  1. Nella console Amazon Cognito, alla voce Integrazione app, scegli Impostazioni del client di app. Quindi completa i seguenti passaggi:
    Alla voce Provider di identità abilitati, seleziona la casella di controllo Seleziona tutto.
    In URL di callback, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo l'accesso. Per la prova, inserisci un URL valido, ad esempio https://www.esempio.com.
    Per URL di disconnessione, inserisci un URL verso il quale desideri che gli utenti vengano reindirizzati dopo la disconnessione. Per la prova, inserisci un URL valido, ad esempio https://www.esempio.com.
    Alla voce Flussi OAuth consentiti, seleziona almeno la casella di controllo Concessione implicita.
    In Ambiti OAuth consentiti, assicurati di selezionare almeno le caselle di controllo email e openid.
  2. Scegli Salva le modifiche. Per ulteriori informazioni, consulta Aggiornamento del client di app di un pool di utenti (AWS CLI e API AWS).

Verifica dell'endpoint di accesso

  1. Nel browser, inserisci https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
    Nota: sostituisci yourDomainPrefix e region con i valori del tuo pool di utenti. Puoi trovarli nella console Amazon Cognito selezionando la scheda Nome dominio della pagina di gestione del pool di utenti. Sostituisci yourClientId con l'ID del tuo client di app e redirectUrl con l'URL di callback del tuo client di app. Puoi trovarli nella console Amazon Cognito selezionando la scheda Impostazioni del client di app della pagina di gestione del pool di utenti. Per ulteriori informazioni, consulta L'endpoint di accesso gestito: /login.
  2. Scegli OneLogin.
    Nota: se vieni reindirizzato all'URL di callback del client di app, significa che hai già effettuato l'accesso all'account OneLogin nel browser. Tutte le impostazioni sono corrette.
  3. Nella pagina OneLogin, alla voce Nome utente, inserisci il nome utente dell'account OneLogin.
  4. Scegli Continua.
  5. Alla voce Password, inserisci la password dell'account OneLogin.
  6. Scegli Continua.

Informazioni correlate

Configurazione del tuo gestore dell'identità digitale SAML di terze parti

Avvio della sessione SAML nei pool di utenti Amazon Cognito

Argomenti
Security, Identity, & Compliance
Tag
Amazon Cognito
Lingua
Italiano
AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente