AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Como configurar o Google como um provedor de identidades federado em um grupo de usuários do Amazon Cognito?

6 minuto de leitura

Quero usar o Google como um provedor de identidades (IdP) federado em um grupo de usuários do Amazon Cognito.

Resolução

Criar um grupo de usuários do Amazon Cognito

Crie uma nova aplicação no console do Amazon Cognito.

Criar um projeto do Google API Console

Faça login no Google API Console com sua conta do Google e crie um projeto do Google Cloud. Para ver as etapas, consulte Fazer login com o Google para web no site do Google Identity e Criar um projeto do Google Cloud no site do Google Workspace.

Configure a tela de permissão OAuth

Conclua as etapas a seguir:

Abra o console de API do Google.
No painel de navegação, escolha a tela de consentimento do OAuth.
Configure os seguintes campos obrigatórios no formulário de consentimento:
Em Nome da aplicação, insira um nome.
Em Domínios autorizados, digite amazoncognito.com.
Importante: você deve inserir esse domínio para usar seu domínio do Amazon Cognito ao criar um ID de cliente OAuth.
Selecione Salvar.

Obtenha as credenciais do cliente OAuth 2.0

Conclua as etapas a seguir:

Abra o console de API do Google.
Na página Credenciais, escolha Criar credenciais.
Escolha ID do cliente OAuth.
Na página Criar ID do cliente OAuth, em Tipo de aplicação, escolha Aplicativo web.
Defina as seguintes configurações:
Insira um Nome para o ID do cliente OAuth.
Em Origens JavaScript autorizadas, insira seu domínio do Amazon Cognito, como https://yourDomainPrefix.auth.region.amazoncognito.com.
Observação: substitua yourDomainPrefix pelo domínio do seu grupo de usuários e region pela região da AWS do grupo de usuários.
Para encontrar o prefixo de domínio e a região do seu grupo de usuários, faça o seguinte:
Abra o console do Amazon Cognito.
Selecione Grupos de usuários na navegação à esquerda.
Escolha seu grupo de usuários.
No menu de navegação à esquerda, escolha Integração de aplicação. Vá até a seção Domínio para encontrar o prefixo e a região do seu domínio.
Em URIs de redirecionamento autorizados, digite https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/idpresponse.
Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários.
Na caixa de diálogo Cliente OAuth, anote o ID e o segredo do cliente.

Configure o Google como um IdP federado em seu grupo de usuários

Use o console do Amazon Cognito para configurar seu grupo de usuários com um IdP social e defina as seguintes configurações:

Em Adicionar um provedor de identidade, escolha Google.
Em Mapear atributos entre o Google e seu grupo de usuários, mapeie o atributo do grupo de usuários do e-mail para o atributo de e-mail do Google.

Altere as configurações do cliente da aplicação para seu grupo de usuários

Observação: nas configurações do cliente da aplicação, os atributos mapeados do grupo de usuários devem ser graváveis. Para mais informações, consulte Mapeamento de atributos do IdP para perfis e tokens.

Conclua as etapas a seguir:

Abra o console do Amazon Cognito.
Escolha Grupos de usuários e, em seguida, seu grupo de usuários.
Escolha a aba Integração de aplicações.
Em Lista de clientes de aplicações, selecione Criar cliente de aplicação.
Defina as seguintes configurações:
Em Tipo de aplicação, escolha Cliente público e insira um nome para seu cliente de aplicação.
Para Fluxos de autenticação, selecione ALLOW_USER_PASSWORD_AUTH e ALLOW_REFRESH_TOKEN_AUTH.
Em URL(s) de retorno de chamada permitido(s), insira um URL para o qual você deseja redirecionar seus usuários após o login. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
Em URL(s) de saída, insira o URL para o qual você deseja redirecionar seus usuários após o logout. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
Em Provedores de identidades, selecione Grupo de usuários do Cognito e Google.
Em Tipo de concessão do OAuth 2.0, escolha Concessão implícita.
Em Escopos do OpenID Connect, selecione email, openid e profile.
Importante: o fluxo de concessão implícita do OAuth serve apenas para fins de teste. É uma prática recomendada usar a concessão de código de autorização para sistemas de produção.
Escolha Criar cliente de aplicação.

Para mais informações sobre as configurações do cliente de aplicação, consulte os Termos do cliente de aplicação.

Estruture o URL do endpoint

Para criar o URL do endpoint de login para a interface de usuário web hospedada no Amazon Cognito, use o seguinte formato:

https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

Observação: substitua yourDomainPrefix pelo domínio do grupo de usuários e region pela região do grupo de usuários. Substitua yourClientId pelo ID do cliente da aplicação do Amazon Cognito e redirectUrl pelo URL de retorno de chamada do cliente da aplicação.

Para encontrar o prefixo de domínio e a região do seu grupo de usuários, conclua as seguintes etapas:

Abra o Console do Amazon Cognito.
Selecione Grupos de usuários na navegação à esquerda.
Selecione seu grupo de usuários.
No menu de navegação à esquerda, escolha Integração de aplicação.
Role até a seção Domínio para encontrar o prefixo e a região do seu domínio.

Para encontrar o ClientID e redirectUrl, conclua as seguintes etapas:

Abra o console do Amazon Cognito.
Escolha Grupos de usuários na navegação à esquerda.
Selecione seu grupo de usuários.
No menu de navegação à esquerda, escolha Integração de aplicação.
Vá até Clientes de aplicação para encontrar o ClientId e redirectUrl.
Observação: selecione o cliente de aplicação para ver seus detalhes, incluindo os URLs de redirecionamento configurados.

Teste o URL do endpoint

Conclua as etapas a seguir:

Insira o URL do endpoint de login em seu navegador.
Na página da Web do endpoint de login, escolha Continuar com o Google.
Observação: se a página redirecionar você para o URL de retorno de chamada do cliente de aplicação do Amazon Cognito, você já estará conectado à sua conta do Google no navegador. Os tokens do grupo de usuários aparecem na URL na barra de endereço do seu navegador da web.
Em Fazer login com o Google, escolha sua conta do Google e, em seguida, faça login.

Depois de se autenticar, você será redirecionado para a URL de retorno de chamada do seu cliente da aplicação Amazon Cognito. Os tokens Web JSON (JWT) emitidos pelo grupo de usuários aparecem no URL na barra de endereço do navegador da web.

Informações relacionadas

Usando provedores de identidade social com um grupo de usuários

Manage APIs in the API console (Gerenciar APIs no console de API) no site de Ajuda do Google

Tópicos: Security, Identity, & Compliance
Tags: Amazon Cognito
Idioma: Português

Vídeos relacionados

Assista ao vídeo de Shwetha para saber mais (7:06)

AWS OFICIALAtualizada há 6 meses

Sem comentários

Conteúdo relevante

Stardew Valley Mobile Android - Problema de Sincronização de Dados com o Cognito e S3
tanabanaa
feita há um mês
MFA estava configurado, estragou e já adquiri um novo.
Diogo Santos
feita há 2 meses
Configuração SAML AWS Opensearch Service
Resposta aceita
Priscila Camargo
feita há 7 meses
Stack perdeu o vinculo com meu Pool no Cognito
rePost-User-3170605
feita há 8 meses
Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há 7 meses
Como faço para obter tokens de identidade social ou OIDC emitidos por IdPs para grupos de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Como configurar o Okta como um provedor de identidades SAML em um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 8 meses
Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 5 meses