Come posso utilizzare un gestore dell'identità digitale di terze parti per configurare il Centro identità IAM per il mio pool di utenti Amazon Cognito?

Risoluzione

Utilizza un client dell'app e un nome di dominio per creare un pool di utenti Amazon Cognito

Nota: se disponi di un pool di utenti con un client dell'app, vali alla sezione Attiva il Centro identità IAM e aggiungi un utente.

Completa i seguenti passaggi:

1. Crea una nuova applicazione.
2. Crea un dominio con prefisso Amazon Cognito nel formato: https://cognitoexample.auth.region.amazoncognito.com. Oppure crea un dominio personalizzato. Per ulteriori informazioni, consulta la pagina Configurazione di un dominio di un pool di utenti.
3. (Facoltativo) Applica il branding alle pagine di accesso gestite.

Attiva il Centro identità IAM e aggiungi un utente

Nota: se disponi di un ambiente Centro identità IAM funzionante, vai alla sezione Configura un'applicazione SAML.

Completa i seguenti passaggi:

1. Rivedi i prerequisiti e le considerazioni del Centro identità IAM.
2. Attiva il Centro identità IAM. 
   Nota: per il tipo di istanza, devi scegliere un'istanza dell'organizzazione del Centro identità IAM che crei nell'account di gestione di AWS Organizations.
3. Conferma l'origine dell'identità, quindi crea un utente.

Configura un'applicazione SAML

Completa i seguenti passaggi:

1. Apri la console Centro identità IAM.
2. Nel pannello di navigazione, scegli Applicazioni.
3. Scegli Aggiungi applicazione, quindi seleziona Ho un'applicazione che voglio configurare in Preferenza di configurazione.
4. Per Tipo di applicazione, seleziona SAML 2.0, quindi scegli Avanti.
5. Nella pagina Configura applicazione, inserisci un nome da visualizzare e una descrizione.
6. Annota l'URL del file di metadati SAML del Centro identità IAM o scegli il collegamento ipertestuale Download per scaricare il file.
7. In Metadati applicazione, scegli Digita manualmente i valori dei metadati. Inserisci i seguenti valori:
   In Application Assertion Consumer Service (ACS) URL (URL dell'Application Assertion Consumer Service (ACS)), inserisci https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse.
   In Destinatari SAML dell’applicazione, inserisci urn:amazon:cognito:sp:userpool-id.
   Nota: sostituisci domain-prefix con il prefisso del tuo dominio, region con la tua Regione AWS e userpool-id con l'ID del tuo pool di utenti.
8. Scegli Invia.
9. Nella pagina Dettagli dell'applicazione, scegli l'elenco a discesa Operazioni.
10. Scegli Modifica mappature degli attributi, quindi inserisci i seguenti attributi:
    Per User attribute in the application (Attributo utente nell'applicazione), lascia l'oggetto predefinito.
    In Maps to this string value or user attribute in IAM Identity Center (Mappa su questo valore di stringa o attributo utente nel Centro identità IAM), inserisci ${user:subject}.
    In Formato, inserisci Persistent (Persistente).
    In User attribute in the application (Attributo utente nell'applicazione), inserisci email.
    In Maps to this string value or user attribute in IAM Identity Center (Mappa su questo valore di stringa o attributo utente nel Centro identità IAM), inserisci ${user:email}.
    In Formato, inserisci Basic (Base).
    Nota: il Centro identità IAM invia le mappature degli attributi ad Amazon Cognito al momento dell'accesso. Assicurati di mappare tutti gli attributi richiesti del pool di utenti. Per ulteriori informazioni sugli attributi di mappatura disponibili, consulta Attributi di provider di identità esterni supportati.
11. Scegli Invia.
12. Nella sezione Utenti e gruppi assegnati, scegli Assegna utenti e gruppi.
13. Individua l'utente, quindi scegli Assegna.

Configura il Centro identità IAM come gestore dell'identità digitale SAML nel pool di utenti

Per configurare un gestore dell'identità digitale SAML nel pool di utenti, consulta Aggiungere e gestire i gestori dell'identità digitale SAML in un pool di utenti. Quando specifichi una mappatura degli attributi del gestore dell'identità digitale SAML, inserisci un'e-mail valida nel campo Attributo SAML. Per Attributo pool di utenti, seleziona e-mail.

Per informazioni sui nomi e gli identificatori dei gestori dell'identità digitale, consulta Nomi e identificatori dei gestore dell'identità digitale SAML.

Utilizza il client dell'app del pool di utenti per integrare il gestore dell'identità digitale

Completa i seguenti passaggi:

1. Apri la console Amazon Cognito.
2. Nel pannello di navigazione, scegli Pool di utenti.
3. In Applicazioni, scegli Client dell'app.
4. Seleziona un client dell'app.
5. Nella sezione Pagine di accesso, scegli Modifica.
6. Nella sezione Provider di identità, seleziona il gestore dell'identità digitale.
7. Scegli Salva le modifiche.

Verifica la configurazione

Per verificare l'accesso avviato da un provider di servizi, completa i seguenti passaggi:

1. Apri la console Amazon Cognito, quindi scegli Visualizza la pagina di accesso nella scheda Pagine di accesso del client dell'app. Oppure crea l'URL dell'endpoint di accesso.Utilizza il seguente esempio di modello di denominazione e sostituisci gli esempi di valore con i tuoi valori:
   https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
   In OAuth 2.0 grant types (Tipi di concessione OAuth 2.0), scegli Concessione implicita. Quindi imposta response_type su token nell'URL della richiesta.
2. Nella scheda Pagine di accesso, seleziona il gestore dell'identità digitale del Centro identità IAM.
   Se il browser ti reindirizza all'URL di callback del client dell'app, hai effettuato correttamente l'accesso come utente. I token del pool di utenti vengono visualizzati nell'URL della barra degli indirizzi del browser web.
   Nota: per saltare questo passaggio, crea un Authorize endpoint URL (Autorizza URL endpoint) con il seguente modello di denominazione:
   https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes
3. Inserisci le credenziali utente e scegli Accedi.

Quando Amazon Cognito ti reindirizza all'URL di callback con un codice o un token, la configurazione è completa.

Per verificare l'accesso avviato dal gestore dell'identità digitale, completa i seguenti passaggi:

1. Apri la console Amazon Cognito.
2. Nel pannello di navigazione scegli Pool di utenti, quindi seleziona il pool di utenti.
3. Nel pannello di navigazione, scegli Social and external provider (Provider esterno e social).
4. Seleziona il gestore dell'identità digitale, quindi scegli Modifica nella sezione Informazioni sul provider di identità.
5. Nella sezione Accesso SAML avviato da IdP, scegli Accept SP-initiated and IdP-initiated SAML assertions (Accetta asserzioni SAML avviate da SP e IdP).
   Nota: puoi aggiungere altri gestori SAML a un client dell'app che accetta un gestore SAML con accesso avviato da IdP. Rimuovi altri provider social o OpenID Connect (OIDC) o le directory del pool di utenti Cognito dal client dell'app.
6. Scegli Salva le modifiche.
7. Apri la console Centro identità IAM e seleziona l'applicazione SAML 2.0.
8. Scegli l'elenco a discesa Operazioni, quindi Modifica configurazione.
9. In Proprietà dell'applicazione, aggiungi il seguente valore relay state:
   identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
   Nota: sostituisci gli esempi di valore con i tuoi valori.
10. Scegli Invia.
11. Dal pannello di navigazione, scegli Impostazioni.
12. Nella sezione Origine identità , copia l'URL del portale di accesso AWS e aprilo nel browser.
13. Inserisci le credenziali utente e scegli Accedi.
14. Seleziona l'applicazione Cognito.

Se Amazon Cognito ti reindirizza all'URL di callback con un codice o un token, la configurazione è completa.

Informazioni correlate

Funzionamento dell'accesso federato nei pool di utenti di Amazon Cognito

Comprensione dei token web JSON del pool di utenti (JWT)