Come posso configurare un Application Load Balancer per autenticare gli utenti tramite un pool di utenti Amazon Cognito?

6 minuti di lettura

Voglio integrare un Application Load Balancer con un pool di utenti Amazon Cognito per l'autenticazione degli utenti.

Breve descrizione

Per gestire e autenticare gli utenti, puoi integrare un Application Load Balancer con un pool di utenti Amazon Cognito. Per configurare l'autenticazione utente con un Application Load Balancer e un pool di utenti Amazon Cognito, completa i seguenti passaggi:

1. Crea un Application Load Balancer e ottieni il suo nome DNS.

2. Crea e configura un pool di utenti Amazon Cognito.

3. Configura l'Application Load Balancer.

4. Prova la configurazione.

Risoluzione

Per configurare un Application Load Balancer e un pool di utenti Amazon Cognito per autenticare gli utenti dell'applicazione, completa i seguenti passaggi.

Crea un Application Load Balancer

Nota: se hai già configurato un Application Load Balancer, passa alla sezione successiva.

1. Crea un Application Load Balancer rivolto a Internet.

2. Crea un ascoltatore HTTPS per il tuo Application Load Balancer.

Nota: solo gli ascoltatori HTTPS supportano i tipi di azione delle regole authenticate-cognito e authenticate-oidc.

Ottieni il nome DNS del tuo Application Load Balancer

1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).

2. Nel pannello di navigazione, in Bilanciatori del carico scegli Sistemi di bilanciamento del carico.

3. Seleziona il tuo Application Load Balancer.

4. Nella scheda Descrizione, copia e salva il nome DNS del sistema di bilanciamento del carico. Usa questo nome DNS per accedere all'URL dell'endpoint dell'Application Load Balancer per il test.

Crea e configura un pool di utenti Amazon Cognito

1. Crea un pool di utenti Amazon Cognito con un client di app. Quando configuri il client dell'app, seleziona il pulsante radio Genera un client segreto.

Per ulteriori informazioni, consulta Prepararsi all'uso di Amazon Cognito.

Nota: quando crei il pool di utenti, configura le impostazioni desiderate per la produzione. Dopo aver creato il pool di utenti, non puoi modificare alcune impostazioni del pool di utenti. Ad esempio, non puoi modificare gli attributi standard richiesti per la registrazione degli utenti.

2. Apri la console Amazon Cognito.

3. Nel pannello di navigazione, scegli Pool di utenti, quindi seleziona il pool di utenti. Copia e salva l'ID del pool di utenti. Usa questo ID per configurare l'Application Load Balancer per l'autenticazione degli utenti.

4. Scegli la scheda Integrazione delle app per il tuo pool di utenti, quindi aggiungi un dominio per il tuo pool di utenti.

5. Dalla scheda Integrazione delle app per il tuo pool di utenti, vai alla sezione Client e analisi delle app. Quindi, seleziona il client dell'app.

6. Nella pagina del client dell'app, in Informazioni sul client dell'app, copia e salva l'ID client. Usa questo ID per configurare l'Application Load Balancer per l'autenticazione degli utenti.

7. Nella sezione Interfaccia utente ospitata, scegli Modifica.

8. Scegli Aggiungi URL di callback, quindi inserisci https://loadBalancerDNSName/oauth2/idpresponse.

-oppure-

Se hai utilizzato un record CNAME per mappare un dominio personalizzato su Application Load Balancer, inserisci https://CNAME/oauth2/idpresponse.

Nota: sostituisci loadBalancerDNSName con il nome DNS copiato dalla console Amazon EC2. Se utilizzi un record CNAME, sostituisci CNAME con il tuo dominio personalizzato.

9. Scegli Aggiungi URL di disconnessione, quindi inserisci l'URL a cui desideri reindirizzare gli utenti dopo la disconnessione. Per il test, puoi inserire qualsiasi URL valido, ad esempio https://example.com/.

10. Per i provider di identità, selezionare la casella di controllo del pool di utenti Cognito.

11. In Tipi di concessione OAuth 2.0, seleziona la casella di controllo Concedi codice di autorizzazione. Seleziona eventuali tipi di sovvenzione OAuth aggiuntivi in base alle tue esigenze.

12. In Ambiti di OpenID Connect, seleziona la casella di controllo OpenID. L'ambito OpenID restituisce un token ID. Seleziona eventuali ambiti OpenID Connect (OIDC) aggiuntivi in base alle tue esigenze.

13. Seleziona Salva le modifiche.

Per ulteriori informazioni, vedi Configurazione di un client di app per pool di utenti e Aggiungere l'accesso al pool di utenti tramite una terza parte.

Configura l'Application Load Balancer

1. Apri la console di Amazon EC2.

2. Nel pannello di navigazione, in Bilanciatori del carico scegli Sistemi di bilanciamento del carico.

3. Seleziona il tuo Application Load Balancer.

4. Nella scheda Ascoltatori, seleziona la regola predefinita dell'ascoltatore HTTPS che desideri aggiornare, quindi scegli Azioni, Gestisci regole.

5. Modifica la regola predefinita dell'ascoltatore HTTPS con le seguenti impostazioni:

Per POI, scegli Aggiungi azione.
Scegli Autenticazione.
Per Autenticazione, scegli Amazon Cognito.
Per il pool di utenti, inserisci l'ID del pool di utenti che hai copiato dalla console Amazon Cognito.
Per il client dell'app, inserisci l'ID client che hai copiato dalla console Amazon Cognito.
Espandi Impostazioni avanzate.
In Ambito, inserisci gli ambiti che hai configurato per il client dell'app del pool di utenti, separati da spazi. Puoi trovare gli ambiti nella configurazione OIDC del tuo pool di utenti. Ad esempio, se il valore scopes_supported nella configurazione è ["openid", "email", "phone", "profile"], inserisci il profilo del telefono email openid.
Scegli l'icona del segno di spunta.

6. Continua a modificare la regola predefinita dell'ascoltatore HTTPS con le seguenti impostazioni:

Per POI, scegli Aggiungi azione.
Nota: se non puoi scegliere Aggiungi azione, utilizza l'icona del cestino per eliminare l'azione di routing esistente, ad esempio Reindirizza a. Quindi, riprova.
Scegli Inoltra a.
Per Inoltra a, scegli uno o più gruppi di destinazione.
(Facoltativo) Configura la permanenza a livello di gruppo.
Scegli l'icona del segno di spunta.

7. Scegli Aggiorna per aggiornare la regola predefinita dell'ascoltatore HTTPS.

Test della configurazione

Nel tuo browser web, inserisci uno dei seguenti URL:

https://loadBalancerDNSName/
https://CNAME/

Nota: sostituisci loadBalancerDNSName con il nome DNS copiato dalla console Amazon EC2. In alternativa, sostituisci CNAME con il tuo dominio personalizzato. Verrai reindirizzato all'interfaccia utente Web ospitata da Amazon Cognito per il tuo pool di utenti. Dopo l'accesso degli utenti e l'autenticazione del pool di utenti, gli utenti vengono reindirizzati alla destinazione.

Informazioni correlate

Guida introduttiva ad Application Load Balancers

Semplifica l'accesso con l'autenticazione integrata di Application Load Balancer

Regole dell'ascoltatore per l'Application Load Balancer

Flusso di autenticazione IdP del pool di utenti OIDC

Argomenti

Sicurezza, identità e conformità

Tag

Amazon Cognito

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso integrare un pool di utenti Amazon Cognito multi-regione e multi-account con un pool di identità Amazon Cognito?
AWS UFFICIALEAggiornata un anno fa
Posso usare il Servizio di directory AWS per Microsoft Active Directory per autenticare gli utenti in Amazon QuickSight?
AWS UFFICIALEAggiornata 3 anni fa
Come posso configurare il mio Application Load Balancer per autenticare gli utenti tramite un pool di utenti Amazon Cognito in un altro account AWS?
AWS UFFICIALEAggiornata 9 mesi fa
Come posso modificare gli attributi di un pool di utenti Amazon Cognito dopo averli creati?
AWS UFFICIALEAggiornata 2 anni fa