Como faço para integrar o Centro de Identidade do IAM a um grupo de usuários do Amazon Cognito?

Breve descrição

Os grupos de usuários do Amazon Cognito permitem o login por meio de IdPs de terceiros. Os usuários podem usar o Centro de Identidade do IAM para federar por meio do IdP da Security Assertion Markup Language versão 2.0 (SAML 2.0). Para obter mais informações, consulte Como o login federado funciona em grupos de usuários do Amazon Cognito.

Um grupo de usuários integrado ao Centro de Identidade do IAM permite que os usuários obtenham tokens de grupos de usuários do Amazon Cognito. Para obter mais informações, consulte Como usar tokens com grupos de usuários.

Resolução

Para integrar um grupo de usuários do Amazon Cognito ao Centro de Identidade do IAM, siga as etapas a seguir.

Observação: se você já tem um grupo de usuários com um cliente de aplicativo, pule a seção a seguir.

Crie um grupo de usuários do Amazon Cognito com um cliente de aplicativo e nome de domínio

1.    Crie um grupo de usuários.

2.    Adicione um cliente de aplicativo e configure a interface de usuário da web hospedada.

3.    Adicione um nome de domínio ao grupo de usuários.

Observação: se você já tem um ambiente do Centro de Identidade do IAM em funcionamento, pule a seção a seguir.

Ative o Centro de Identidade do IAM e adicione um usuário

1.    Antes de ativar o Centro de Identidade do IAM, analise os pré-requisitos e as considerações.

2.    Ative o Centro de Identidade do IAM.

3.    Escolha sua origem de identidade e crie um usuário.

Configure um aplicativo SAML a partir do console do Centro de Identidade do IAM

1.    Abra o console do Centro de Identidade do IAM e, no painel de navegação, escolha Aplicativos.

2.    Escolha Adicionar aplicativo e Adicionar aplicativo SAML 2.0 personalizado e, em seguida, escolha Avançar.

3.    Na página Configurar aplicativo, insira um Nome de exibição e uma Descrição.

4.    Copie o URL do arquivo de metadados SAML do Centro de Identidade do IAM ou escolha o hiperlink Download. Você usará esses recursos em etapas posteriores para criar um IdP em um grupo de usuários.

5.    Em Metadados do aplicativo, escolha Digitar manualmente os valores dos metadados. Em seguida, forneça os seguintes valores.

Importante: certifique-se de substituir os valores de domain-prefix, region e userpool-id por informações específicas do seu ambiente.

URL do Application Assertion Consumer Service (ACS): https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
Público SAML do aplicativo: urn:amazon:cognito:sp:<userpool-id>

6.    Escolha Enviar. Em seguida, acesse a página Detalhes do aplicativo adicionado.

7.    Selecione a lista suspensa Ações e escolha Editar mapeamentos de atributos. Em seguida, forneça os seguintes atributos.

Atributo do usuário no aplicativo: subject
Observação: subject será pré-preenchido.
Mapeia esse valor de string ou atributo de usuário no Centro de Identidade do IAM: ${user:subject}
Formato: Persistente

Atributo do usuário no aplicativo: email
Mapeia esse valor de string ou atributo de usuário no Centro de Identidade do IAM: ${user:email}
Formato: Básico

Os atributos mapeados são enviados para o Amazon Cognito ao fazer login. Certifique-se de que todos os atributos necessários do seu grupo de usuários estejam mapeados aqui. Para saber mais sobre os atributos disponíveis para mapeamento, consulte Supported IAM Identity Center attributes.

8.    Salve as alterações.

9.    Escolha o botão Atribuir usuários e, em seguida, atribua seu usuário ao aplicativo.

Configure o Centro de Identidade do IAM como um IdP SAML no seu grupo de usuários

1.    Configure um IdP SAML no seu grupo de usuários. Verifique as seguintes configurações:

Em Documento de metadados, forneça o URL dos metadados ou carregue o arquivo que você baixou na etapa 4 da seção anterior. Para obter mais informações, consulte Como integrar provedores de identidade SAML de terceiros com grupos de usuários do Amazon Cognito.

Insira o Nome do provedor SAML. Para obter mais informações, consulte Como escolher nomes do provedor de identidade SAML.

(Opcional) Insira qualquer Identificador SAML.

2.    Configure um mapeamento de atributos do provedor SAML. Verifique as seguintes configurações:

No campo Atributo SAML, forneça um valor de e-mail que corresponda ao valor do atributo do usuário fornecido na etapa 7 da seção anterior. No campo Atributo do grupo de usuários, selecione E-mail na lista suspensa.

Observação: adicione quaisquer outros atributos configurados no Centro de Identidade do IAM na etapa 7 da seção anterior.

3.    Salve as alterações.

Integre o IdP com o cliente de aplicativo do grupo de usuários

1.    Faça login no novo console do Amazon Cognito.

2.    Escolha grupos de usuários e selecione um grupo de usuários apropriado.

3.    Escolha a guia Integração de aplicativos e, em seguida, escolha Lista de clientes de aplicativos.

4.    Selecione o cliente de aplicativo apropriado.

5.    Na seção Interface de usuário hospedada, escolha Editar.

6.    Selecione o IdP apropriado.

7.    Salve as alterações.

Teste a configuração

1.    Inicie uma interface de usuário hospedada ou estruture o URL do endpoint de login usando o seguinte padrão de nomenclatura:

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Por exemplo: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

Para os tipos de concessão do OAuth 2.0, escolha Concessão de código de autorização para que o endpoint de login solicite que o Amazon Cognito retorne os códigos de autorização quando os usuários fizerem login. Para os tipos de concessão do OAuth 2.0, escolha Concessão implícita para que o Amazon Cognito retorne tokens de acesso quando os usuários fizerem login. Em seguida, substitua response_type=code por response_type=token no URL.

2.    Escolha IAM IdC.

Se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicativo, você já estará conectado como usuário no navegador. Os tokens de grupos de usuários aparecem diretamente no URL da barra de endereço do navegador.

Observação: para pular essa etapa, crie um URL de endpoint de autorização com o seguinte padrão de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Insira as credenciais do usuário e selecione Login.

4.    Quando você for redirecionado para o URL de retorno de chamada que inclui um código ou token do Amazon Cognito na barra de endereço do navegador, a configuração estará concluída.

Observação: o Amazon Cognito suporta somente logins iniciados pelo provedor de serviços (SP). Você deve usar o endpoint de login ou o endpoint de autorização para testar a configuração. Iniciar um login iniciado pelo IdP com o portal de acesso da AWS para o Centro de Identidade do IAM não funciona.