Como configurar o OneLogin como provedor de identidades SAML com um grupo de usuários do Amazon Cognito?

7 minuto de leitura
0

Quero usar o OneLogin como provedor de identidades (IdP) da Security Assertion Markup Language 2.0 (SAML 2.0) com um grupo de usuários do Amazon Cognito.

Breve descrição

Os grupos de usuários do Amazon Cognito permitem o login por meio de terceiros (federação). Isso inclui através de um IdP SAML, como o OneLogin. Para obter mais informações, consulte Como adicionar acesso a grupo de usuários por meio de terceiros e Como adicionar provedores de identidades SAML a um grupo de usuários. Para configurar o OneLogin como um IdP SAML, você precisa de um grupo de usuários do Amazon Cognito e de uma conta do OneLogin que contenha um aplicativo.

Resolução

Crie um grupo de usuários do Amazon Cognito com um cliente de aplicativo e nome de domínio

Para obter mais informações, consulte os artigos a seguir:

Observação: ao criar um grupo de usuários, o atributo padrão e-mail é selecionado por padrão. Para obter mais informações, consulte Atributos de grupos de usuários.

Crie uma conta do OneLogin

  1. Abra o site do OneLogin e escolha Avaliação gratuita.
  2. Na página de criação da conta, em Seu domínio do OneLogin, anote o domínio fornecido pelo OneLogin.

Crie um aplicativo OneLogin

  1. Na página do portal do OneLogin (https://seu-novo-dominio.onelogin.com/portal/), selecione Administração.
  2. Na página Administração, passe o mouse sobre Aplicativos e selecione Adicionar aplicativos.
  3. Na barra de pesquisa em Localizar aplicativos, digite saml e escolha Conector de teste SAML (IdP). A página Adicionar conector de teste SAML (IdP).
  4. (Opcional) Na página Adicionar conector de teste SAML (IdP), conclua qualquer uma das etapas a seguir:
    Em Nome de exibição, insira um nome e uma descrição. Por exemplo, Configuração do Cognito (IdP).
    Em Ícone retangular e Ícone quadrado, faça upload de ícones em miniatura seguindo as especificações da página.
    Em Descrição, insira uma breve descrição resumida. Por exemplo, Para o grupo de usuários do Amazon Cognito.
  5. Selecione Salvar.

Edite a configuração do aplicativo OneLogin

  1. Na página do portal do OneLogin (https://seu-novo-dominio.onelogin.com/portal/), selecione Configuração.
  2. Na página Configuração, conclua as seguintes etapas:
    Em RelayState, insira qualquer URL válido, como https://www.exemplo.com.
    Em Público, insira urn:amazon:cognito:sp:IddoSeuGrupodeUsuarios.
    Em Destinatário, digite https://prefixodoseudominio.auth.regiao.amazoncognito.com/saml2/idpresponse.
    Em Validador de URL ACS (Consumidor), digite https://prefixodoseudominio.auth.regiao.amazoncognito.com/saml2/idpresponse.
    Em URL ACS (Consumidor), digite https://prefixodoseudominio.auth.regiao.amazoncognito.com/saml2/idpresponse.
    Em URL de logout único, deixe o campo em branco.
    Observação: em Público, substitua IddoSeuGrupodeUsuarios pelo ID do seu grupo de usuários do Amazon Cognito. Encontre o ID no console do Amazon Cognito na guia Configurações gerais da página de gerenciamento do seu grupo de usuários.
    Em Validador de URL ACS (Consumidor) e URL ACS (Consumidor), substitua prefixodoseudominio e a região pelos valores do seu grupo de usuários. Eles podem ser encontrados no console do Amazon Cognito, na guia Nome do domínio da página de gerenciamento do seu grupo de usuários.

Edite os parâmetros do seu aplicativo OneLogin

  1. Na página do portal do OneLogin (https://seu-novo-dominio.onelogin.com/portal/), selecione Parâmetros.
    Observação: a página Parâmetros lista o parâmetro NameID (fka Email) por padrão.
  2. Selecione Adicionar parâmetro para criar um novo parâmetro personalizado.
  3. Na caixa de diálogo Novo campo, em Nome do campo, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier.
  4. Em Sinalizadores, marque a caixa de seleção Incluir na asserção SAML.
  5. Selecione Salvar.
  6. Em Valor, selecioneE-mail na lista.
  7. Selecione Salvar.

Copie os metadados do IdP para seu aplicativo OneLogin

  1. Na página do portal do OneLogin (https://seu-novo-dominio.onelogin.com/portal/), selecione SSO.
  2. Em URL do emissor, copie o URL.
  3. Selecione Salvar.

Configure o OneLogin como o IdP SAML no Amazon Cognito

Para configurar o OneLogin como o IdP SAML no Amazon Cognito, consulte Como criar e gerenciar um provedor de identidade SAML para um grupo de usuários (AWS Management Console). Siga as instruções em Para configurar um IdP SAML 2.0 em seu grupo de usuários. Ao criar o IdP SAML, em Documento de metadados, insira o URL do emissor copiado.

Mapeie o endereço de e-mail do atributo IdP para o atributo do grupo de usuários

Para mapear o endereço de e-mail do atributo IdP para o atributo do grupo de usuários, consulte Como especificar mapeamentos de atributos do provedor de identidade para seu grupo de usuários. Siga as instruções em Para especificar um mapeamento de atributos do provedor SAML. Ao adicionar um atributo SAML em Mapeamento de atributos, em Atributo SAML, insira http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Em Atributo do grupo de usuários, escolha E-mail na lista.

Altere as configurações do cliente do aplicativo no Amazon Cognito

Observação: esse é um exemplo de configuração para fins de teste. Para uma configuração de produção, é uma prática recomendada usar o fluxo OAuth de concessão do código de autorização para as configurações do cliente do seu aplicativo. Ao usar esse fluxo, você recebe um código de autorização após a autenticação em seu URL de redirecionamento. Você deve fazer uma solicitação ao endpoint do token para trocar o código de autorização por tokens web JSON (JWTs).

  1. No console do Amazon Cognito, em Integração do aplicativo, selecione Configurações do cliente do aplicativo. Em seguida, conclua as seguintes etapas:
    Em Provedores de identidade habilitados, marque a caixa de seleção Selecionar tudo.
    Em URL(s) de retorno de chamada, insira um URL para o qual você deseja redirecionar seus usuários após o login. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
    Em URL(s) de saída, insira um URL para o qual você deseja redirecionar seus usuários após o logout. Para testar, insira qualquer URL válido, como https://www.exemplo.com/.
    Em Fluxos OAuth permitidos, marque ao menos a caixa de seleção Concessão implícita.
    Em Escopos OAuth permitidos, marque ao menos as caixas de seleção e-mail e openid.
  2. Selecione Salvar alterações. Para obter mais informações, consulte Como atualizar um cliente de aplicativo de grupo de usuários (AWS CLI e API da AWS).

Teste o endpoint de login

  1. No seu navegador, digite https://prefixodoseudominio.auth.regiao.amazoncognito.com/login?response_type=token&client_id=IddoSeuCliente&redirect_uri=UrldeRedirect.
    Observação: substitua prefixodoseudominio e região pelos valores referentes ao seu grupo de usuários. Encontre-os no console do Amazon Cognito na guia Nome de domínio da página de gerenciamento do seu grupo de usuários. Substitua iddoSeuCliente pelo ID do seu cliente do aplicativo e substitua UrldeRedirect pelo URL de retorno de chamada do seu cliente do aplicativo. Eles podem ser encontrados no console do Amazon Cognito, na guia Configurações do cliente do aplicativo da página de gerenciamento do seu grupo de usuários. Para mais informações, consulte Como configurar a interface de usuário da Web hospedada para o Amazon Cognito? e Endpoint de login.
  2. Selecione OneLogin.
    Observação: se você for redirecionado para o URL de retorno de chamada do seu cliente do aplicativo, então você já está conectado à sua conta do OneLogin no seu navegador. Tudo está configurado corretamente.
  3. Na página do OneLogin, em Nome de usuário, insira o nome de usuário da sua conta do OneLogin.
  4. Selecione Continuar.
  5. Em Senha, insira a senha da sua conta do OneLogin.
  6. Selecione Continuar.

Informações relacionadas

Como integrar provedores de identidade SAML de terceiros com grupos de usuários do Amazon Cognito

Fluxo de autenticação do IdP do grupo de usuários do SAML

AWS OFICIAL
AWS OFICIALAtualizada há 7 meses