Como configuro o Auth0 como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

Breve descrição

Você deve ter um grupo de usuários do Cognito com um cliente de aplicação, nome de domínio e uma conta Auth0 com um aplicativo Auth0. Para mais informações, consulte Login de grupos de usuários com provedores de identidade de terceiros e Uso de provedores de identidade SAML com um grupo de usuários.

Resolução

Criar um grupo de usuários do Cognito com um cliente de aplicação e nome de domínio

Para mais informações, consulte a seguinte documentação da AWS:

• Adicione mais recursos e opções de segurança ao seu grupo de usuários
  Observação: ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão. Para mais informações, consulte Trabalhar com atributos do usuário.
• Login gerenciado do grupo de usuários
  Observação: o segredo do cliente de aplicação é uma configuração opcional.
• Configurar um domínio de grupo de usuários

Cadastrar-se em uma conta Auth0

Se você ainda não tem uma conta Auth0, cadastre-se em uma no site Inscrição no Auth0.

Criar uma aplicação Auth0

Conclua as etapas a seguir:

1. No Painel do Auth0, escolha Aplicações e, em seguida, Criar aplicação.
2. Na caixa Criar aplicação, insira um nome para a aplicação, por exemplo, Minha aplicação.
3. Em Escolher um tipo de aplicação, escolha Aplicativos web de página única.
4. Escolha Criar.

Criar um usuário de teste para sua aplicação Auth0

Conclua as etapas a seguir:

1. No painel de navegação do Painel do Auth0, escolha Gerenciamento de usuários e, em seguida, Usuários.
2. Escolha Criar seu primeiro usuário ou Criar usuário.
3. Na caixa Criar usuário, insira um e-mail e uma senha para o usuário de teste.
4. Selecione Salvar.

Definir configurações de SAML para sua aplicação

Conclua as etapas a seguir:

1. No painel de navegação do Painel do Auth0, escolha Aplicações.
2. Escolha o nome da aplicação que você criou.
3. Na guia Complementos, ative Aplicativo web SAML2.
4. Na caixa Complemento: aplicativo web SAML2, na guia Configurações, para URL de retorno de chamada da aplicação, insira: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
   Observação: substitua yourDomainPrefix e region pelo seu prefixo de domínio e região da AWS para seu grupo de usuários. É possível encontrá-los na guia Nome de domínio da página de Gerenciamento do seu grupo de usuários. Ou insira um URL de retorno de chamada de domínio personalizado semelhante a https//yourCustomDomain/saml2/idpresponse.
5. Em Configurações, em audência, exclua o delimitador de comentários (//) e substitua o valor padrão urn:foo por urn:amazon:cognito:sp:yourUserPoolId.
   Observação: substitua yourUserPoolId pelo ID do grupo de usuários do Cognito. É possível encontrar o ID na guia Configurações gerais da página de Gerenciamento do seu grupo de usuários.
6. Para mappings e email, exclua os delimitadores de comentários (//). Exclua outros atributos de usuário que seu grupo de usuários exija.
7. Em nameIdenetifierFormat, exclua os delimitadores de comentários (//). Substitua o valor padrão urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified por urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
8. (Opcional) Escolha Depurar. Para confirmar se a configuração funciona, faça login como usuário de teste.
9. Escolha Ativar e depois Salvar.

Obter os metadados do IdP para sua aplicação Auth0

Na caixa Complemento: aplicativo web SAML2, na guia Uso, localize Metadados do provedor de identidade. Escolha baixar e anote o URL. Ou escolha baixar para baixar o arquivo de metadados .xml.

Configurar o Auth0 como IdP SAML no Cognito

Ao criar o IdP SAML, em Documento de metadados, cole a URL de Metadados do provedor de identidade ou faça upload do arquivo de metadados .xml.

Para mais informações, consulte Adicionar e gerenciar provedores de identidade SAML em um grupo de usuários.

Mapear o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. Em Atributo de grupo de usuários, escolha E-mail.

Para mais informações, consulte Mapeamento de atributos do IdP para perfis e tokens.

Alterar as configurações do cliente de aplicação no Cognito

Conclua as etapas a seguir:

1. Abra o console do Cognito.
2. Selecione seu grupo de usuários.
3. Na página de Gerenciamento do seu grupo de usuários, em Aplicações, escolha Selecionar o cliente de aplicação desejado.
4. Em Páginas de login, edite a configuração das páginas de login gerenciadas.
5. Em Provedores de identidade, selecione Auth0 e Grupo de usuários do Cognito.
6. Em URL(s) de retorno de chamada permitidos, insira o URL para o qual você deseja que seus usuários sejam redirecionados após o login. Para testar a autenticação, é possível inserir qualquer URL válido, como https://www.amazon.com.
7. Em URLs de saída permitidos, insira o URL para a qual você deseja que seus usuários sejam redirecionados depois de saírem. Para testar a autenticação, é possível inserir qualquer URL válido, como https://www.amazon.com.
8. Em Fluxos OAuth permitidos, selecione pelo menos Concessão implícita.
9. Em Escopos OAuth permitidos, selecione pelo menos email e openid.
10. Escolha Salvar alterações.

Para obter mais informações, consulte os termos do cliente de aplicação.

Teste o endpoint de login

Conclua as etapas a seguir:

1. Digite o URL https://.auth..amazoncognito.com/login?response_type=token&client_id=&redirect_uri= em seu navegador da web.
2. Substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. É possível encontrá-los na guia Nome de domínio em Marca da página de Gerenciamento do seu grupo de usuários.
3. Substitua yourClientId pelo ID do seu cliente da aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente da aplicação. É possível encontrá-los na guia Configurações do cliente de aplicação em Aplicação da página de Gerenciamento para seu grupo de usuários. Para mais informações, consulte O endpoint de login gerenciado: /login.
4. Escolha Auth0.
   Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, isso significa que já está conectado à sua conta Auth0 no navegador.
5. Na página de login da sua aplicação Auth0, insira o e-mail e a senha do usuário de teste.
6. Selecione Login.

Depois de fazer login, você será redirecionado para o URL de retorno de chamada do seu cliente de aplicação. Os tokens de grupos de usuários aparecem na URL na barra de endereço do seu navegador.

Informações relacionadas

Entendendo os JSON Web Tokens (JWTs) do grupo de usuários

Configurar o provedor de identidade SAML de terceiros

Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?