Como configurar o Auth0 como um provedor OIDC em um grupo de usuários do Amazon Cognito?

Breve descrição

Os grupos de usuários do Cognito permitem que você faça login com provedores de identidade OpenID Connect (OIDC) de terceiros, como Salesforce ou Ping Identity. Para configurar o Auth0 como um provedor OIDC, verifique se você tem o seguinte:

• Um grupo de usuários do Amazon Cognito com um cliente de aplicação e nome de domínio.
• Uma conta Auth0 com uma aplicação Auth0.

Resolução

Criar uma conta Auth0

Se você tiver uma conta Auth0, faça login. Para criar uma conta Auth0, consulte Primeiros passos no site do Auth0.

Criar uma aplicação Auth0

Conclua as seguintes etapas:

1. Faça login na sua conta de desenvolvedor no site do Auth0.
2. Escolha o Painel.
3. No painel de navegação, em Aplicações, clique em Criar aplicação.
4. Na caixa de diálogo, insira o nome da aplicação. Por exemplo, App1.
5. Em Escolher um tipo de aplicação, escolha Aplicações de página da Web únicas e, em seguida, escolha Criar.
   Importante: observe que os valores de Client ID, Client secret e Domain na guia de Configurações da aplicação definem suas configurações de OIDC para o grupo de usuários nas próximas etapas.
6. Na seção URLs de retorno de chamada permitidos da guia Configurações, você deve adicionar o domínio de retorno de chamada do Cognito para o grupo de usuários. O formato do domínio é semelhante ao seguinte: https://<Cognito Domain>.auth.<region>.amazoncognito.com/oauth2/idpresponse.
7. Clique em Salvar alterações.

Definir as configurações do OIDC para o grupo de usuários

Conclua as seguintes etapas:

1. Abra o console do Cognito.
2. Escolha Grupos de usuários e selecione seu grupo de usuários.
3. Escolha Provedores sociais e externos e, em seguida, Adicionar provedor de identidade.
4. Escolha OpenID Connect (OIDC).
5. Insira o Nome do provedor. Em seguida, insira os valores de ID do cliente e Secretos do cliente da aplicação do Auth0.
6. Em Escopos de autorização, insira Telefone, E-mail, Openid e Perfil.
7. Selecione a lista suspensa Método de solicitação de atributos e escolha GET.
8. Em Emissor, adicione o nome de domínio do console Auth0. Por exemplo, https://example.auth0.com.
9. Em Mapeamento de atributos, crie um mapeamento de atributos para E-mail na seção Atributos do OIDC. O e-mail do atributo OIDC é mapeado para o e-mail do atributo do grupo de usuários.
10. Clique em Adicionar provedor de identidades.

Definir as configurações do cliente de aplicação para o grupo de usuários

Conclua as seguintes etapas:

1. Abra o console do Cognito.
2. Escolha Clientes de aplicação e, em seguida, abra seu cliente de aplicação.
3. Selecione a guia Páginas de login.
4. Na seção Configuração de páginas de login gerenciadas, selecione Editar.
5. Em Permitir URLs de retorno de chamada, insira o URL da aplicação integrada.
6. Em Permitir URL de saída, insira o URL para a qual os usuários são redirecionados após saírem.
7. Clique no menu suspenso de Provedores de identidade e marque as caixas de seleção Auth0 e Grupo de usuários do Cognito.
8. Em Fluxos OAuth permitidos, é necessário selecionar ao menos a caixa de seleção Concessão do código de autorização.
9. Em Escopos OAuth permitidos, é necessário selecionar ao menos as caixas de seleção E-mail e Openid.
10. Clique em Salvar alterações.

Teste a configuração

Conclua as seguintes etapas:

1. Abra o console do Cognito.
2. Escolha Gerenciar grupos de usuários.
3. Abra seu grupo de usuários e selecione Clientes de aplicação.
4. Selecione seu cliente de aplicação e, em seguida, Exibir página de login.
5. Na página IU hospedada, escolha Auth0. Assim que redirecionado para a página de login do Auth0, preencha a página de login. Em seguida, a página redireciona para o URL de retorno de chamada especificado nas configurações do cliente de aplicação.
6. (Opcional) Verifique o usuário Auth0 criado nas configurações de usuários e grupos no grupo de usuários.

Informações relacionadas

Configurar um domínio de grupo de usuários