Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Como configuro o OneLogin como um provedor de identidades SAML com um grupo de usuários do Amazon Cognito?

7 minuto de leitura

Quero usar o OneLogin como um provedor de identidades (IdP) Security Assertion Markup Language 2.0 (SAML 2.0) com um grupo de usuários do Amazon Cognito.

Breve descrição

Os grupos de usuários do Amazon Cognito permitem o login por meio de terceiros (federação). Isso inclui através de um IdP SAML, como o OneLogin. Para obter mais informações, consulte Login do grupo de usuários com provedores de identidades de terceiros e Como usar provedores de identidade SAML com um grupo de usuários. Para configurar o OneLogin como um IdP SAML, você precisa de um grupo de usuários do Amazon Cognito e de uma conta do OneLogin que contenha uma aplicação nela.

Resolução

Crie um grupo de usuários do Amazon Cognito com um cliente de aplicação e nome de domínio

Para obter mais informações, consulte os artigos a seguir:

Tutorial: Creating a user pool (Tutorial: criar um grupo de usuários)
Setting up the hosted UI with the Amazon Cognito Console (Como configurar a interface do usuário hospedada com o console do Amazon Cognito)
Como configurar um domínio de grupo de usuários

Observação: ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão. Para obter mais informações, consulte Trabalhar com atributos do grupo de usuários.

Crie uma conta do OneLogin

Abra o site do OneLogin e selecione Teste gratuito.
Na página de criação da conta, em Seu domínio do OneLogin, anote o domínio fornecido pelo OneLogin.

Crie uma aplicação do OneLogin

Na página do portal do OneLogin (https://your-new-domain.onelogin.com/portal/), selecione Administração.
Na página Administração, passe o mouse sobre Aplicações e selecione Adicionar aplicações.
Na barra de pesquisa sob Localizar aplicações, digite saml e selecione Conector de teste SAML (IdP). A página Adicionar conector de teste SAML (IdP).
(Opcional) Na página Adicionar conector de teste SAML (IdP), conclua qualquer uma das etapas a seguir:
Em Nome de exibição, insira um nome e uma descrição. Por exemplo, Configuração do Cognito (IdP).
No Ícone retangular e no Ícone quadrado, faça upload de ícones em miniatura seguindo as especificações da página.
Em Descrição, insira uma breve descrição resumida. Por exemplo, Para o grupo de usuários do Amazon Cognito.
Clique em Salvar.

Edite a configuração da sua aplicação do OneLogin

Na página do portal do OneLogin (https://your-new-domain.onelogin.com/portal/), selecione Configuração.
Na página Configuração, conclua as seguintes etapas:
Em RelayState, insira um URL válido, como https://www.example.com.
Em Público, insira urn:amazon:cognito:sp:yourUserPoolId.
Em Destinatário, digite https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Em Validador de URL do ACS (Consumidor), digite https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Em URL do ACS (Consumidor), digite https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Em URL de logout único, deixe o campo em branco.
Observação: em Público, substitua yourUserPoolId pelo ID do seu grupo de usuários do Amazon Cognito. Encontre o ID no console do Amazon Cognito na guia Configurações gerais da página de gerenciamento do seu grupo de usuários.
Em Validador de URL do ACS (Consumidor) e URL do ACS (Consumidor), substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Encontre os valores no console do Amazon Cognito, na guia Nome do domínio da página de gerenciamento do seu grupo de usuários.

Edite os parâmetros da sua aplicação do OneLogin

Na página do portal do OneLogin (https://your-new-domain.onelogin.com/portal/), selecione Parâmetros.
Observação: a página Parâmetros lista o parâmetro NameID (fka Email) por padrão.
Selecione Adicionar parâmetro para criar um novo parâmetro personalizado.
Na caixa de diálogo Campo novo, em Nome do campo, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
Em Sinalizadores, marque a caixa de seleção Incluir na asserção SAML.
Clique em Salvar.
Em Valor, selecione E-mail na lista.
Clique em Salvar.

Copie os metadados do IdP em sua aplicação do OneLogin

Na página do portal do OneLogin (https://your-new-domain.onelogin.com/portal/), selecione SSO.
Em URL do emissor, copie o URL.
Clique em Salvar.

Configure o OneLogin como o IdP SAML no Amazon Cognito

Para configurar o OneLogin como o IdP SAML no Amazon Cognito, consulte Creating and managing a SAML identity provider for a user pool (AWS Management Console) (Criar e gerenciar um provedor de identidade SAML para um grupo de usuários (Console de Gerenciamento da AWS)). Siga as instruções em Para configurar um provedor de identidades SAML 2.0 em seu grupo de usuários. Ao criar o IdP SAML, em Documento de metadados, insira o URL do emissor copiado.

Mapeie o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Para mapear o endereço de e-mail do atributo IdP para o atributo do grupo de usuários, consulte Especificar mapeamentos de atributos do provedor de identidade para o grupo de usuários. Siga as instruções em Especificar um mapeamento de atributos do provedor SAML. Ao adicionar um atributo SAML em Mapeamento de atributos, em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Em Atributo do grupo de usuários, selecione E-mail na lista.

Altere as configurações do cliente de aplicação no Amazon Cognito

Observação: esse é um exemplo de configuração para fins de teste. Para uma configuração de produção, é uma prática recomendada usar o fluxo OAuth de concessão do código de autorização nas configurações do cliente da sua aplicação. Ao usar esse fluxo, você recebe um código de autorização após a autenticação em seu URL de redirecionamento. Você deve fazer uma solicitação ao endpoint do token para trocar o código de autorização por JSON web tokens (JWTs).

No console do Amazon Cognito, em Integração da aplicação, selecione Configurações do cliente da aplicação. Em seguida, conclua as seguintes etapas:
Em Provedores de identidade ativados, marque a caixa de seleção Selecionar tudo.
Em URL(s) de retorno de chamada, insira um URL para o qual você deseja redirecionar seus usuários após o login. Para testar, insira qualquer URL válido, como https://www.example.com.
Em URL(s) de saída, insira um URL para o qual você deseja redirecionar seus usuários após o logout. Para testar, insira qualquer URL válido, como https://www.example.com.
Em Fluxos OAuth permitidos, marque ao menos a caixa de seleção Concessão implícita.
Em Escopos OAuth permitidos, marque ao menos as caixas de seleção email e openid.
Clique em Salvar alterações. Para obter mais informações, consulte Atualizar um cliente da aplicação do grupo de usuários (AWS CLI e API da AWS).

Teste o endpoint de login

No seu navegador, digite https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl.
Observação: substitua yourDomainPrefix e region pelos valores do seu grupo de usuários. Encontre-os no console do Amazon Cognito na guia Nome de domínio da página de gerenciamento do seu grupo de usuários. Substitua yourClientId pelo ID do seu cliente de aplicação e substitua redirectUrl pelo URL de retorno de chamada do seu cliente de aplicação. Eles podem ser encontrados no console do Amazon Cognito, na guia Configurações do cliente de aplicação da página de gerenciamento do seu grupo de usuários. Para obter mais informações, consulte O endpoint de login do login gerenciado: /login.
Selecione OneLogin.
Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, então já está conectado à sua conta do OneLogin no seu navegador. Tudo está configurado corretamente.
Na página do OneLogin, em Nome de usuário, insira o nome de usuário da sua conta do OneLogin.
Clique em Continuar.
Em Senha, insira a senha da sua conta do OneLogin.
Clique em Continuar.

Informações relacionadas

Integrating third-party SAML identity providers with Amazon Cognito user pools (Integração de provedores de identidade SAML terceirizados com grupos de usuários do Amazon Cognito)

SAML user pool IdP authentication flow (Fluxo de autenticação do IdP do grupo de usuários do SAML)

Tópicos: Security, Identity, & Compliance
Tags: Amazon Cognito
Idioma: Português

AWS OFICIALAtualizada há 2 anos

Sem comentários

Conteúdo relevante

Configuração SAML AWS Opensearch Service
Resposta aceita
Priscila Camargo
feita há 8 meses
Stardew Valley Mobile Android - Problema de Sincronização de Dados com o Cognito e S3
tanabanaa
feita há 2 meses
Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há 8 meses
Stack perdeu o vinculo com meu Pool no Cognito
rePost-User-3170605
feita há 9 meses
Não consigo me logar pela conta principal
Lince Web
feita há um ano
Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Como configuro o Auth0 como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há um ano
Como configurar o Okta como um provedor de identidades SAML em um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 9 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 6 meses