Como faço para integrar o Centro de Identidade do IAM a um grupo de usuários do Amazon Cognito?

Descrição breve

Os grupos de usuários do Amazon Cognito permitem o login por meio de IdPs de terceiros. Os usuários podem usar o Centro de Identidade do IAM para federar por meio do IdP Security Assertion Markup Language versão 2.0 (SAML 2.0). Para obter mais informações, consulte Como o login federado funciona nos grupos de usuários do Amazon Cognito.

Um grupo de usuários integrado ao Centro de Identidade do IAM permite que os usuários obtenham tokens de grupos de usuários do Amazon Cognito. Para obter mais informações, consulte Usar tokens com grupos de usuários.

Resolução

Para integrar um grupo de usuários do Amazon Cognito ao Centro de Identidade do IAM, siga as etapas a seguir.

Observação: se você já tiver um grupo de usuários com um cliente de aplicação, pule a seção a seguir.

Criar um grupo de usuários do Amazon Cognito com um cliente de aplicação e nome de domínio

1.    Crie um grupo de usuários.

2.    Adicione um cliente de aplicação e configure a interface Web hospedada.

3.    Adicione um nome de domínio para seu grupo de usuários.

Observação: se você já tem um ambiente ativo do Centro de Identidade do IAM, pule a seção a seguir.

Ativar o Centro de Identidade do IAM e adicionar um usuário

1.    Antes de ativar o Centro de Identidade do IAM, revise os pré-requisitos e as considerações.

2.    Ative o Centro de Identidade do IAM.

3.    Escolha sua fonte de identidade e crie um usuário.

Configurar um aplicativo SAML via console do Centro de Identidade do IAM

1.    Abra o console do Centro de Identidade do IAM e, no painel de navegação, escolha Applications (Aplicações).

2.    Escolha Add application (Adicionar aplicação) e Add custom SAML 2.0 application (Adicionar aplicação SAML 2.0 personalizada). Em seguida, escolha Next (Avançar).

3.    Na página Configure application (Configurar aplicação), insira um Display name (Nome de exibição) e uma Description (Descrição).

4.    Copie o URL do arquivo de metadados SAML do Centro de Identidade do IAM ou escolha o hiperlink Download. Você usará esses recursos em etapas posteriores para criar um IdP em um grupo de usuários.

5.    Em Application metadata (Metadados da aplicação), escolha Manually type your metadata values (Digitar manualmente os valores dos metadados). Em seguida, forneça os valores a seguir.

Importante: certifique-se de substituir os valores de domain-prefix, region e userpool-id por informações específicas do seu ambiente.

URL do Application Assertion Consumer Service (ACS): https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse Público da aplicação SAML: urn:amazon:cognito:sp:<userpool-id>

6.    Escolha Submit (Enviar). Em seguida, vá para a página Details (Detalhes) da aplicação que você adicionou.

7.    Selecione a lista suspensa Actions (Ações) e escolha Edit attribute mappings (Editar mapeamentos de atributos). Em seguida, forneça os atributos a seguir.

Atributo do usuário na aplicação: subject (assunto)
Observação: o subject (assunto) é preenchido previamente.
Maps to this string value or user attribute in IAM Identity Center (Mapear para esse valor de string ou atributo de usuário no Centro de Identidade do IAM): ${user:subject}
Formato: Persistent (Persistente)

Atributo do usuário na aplicação: email (e-mail)
Maps to this string value or user attribute in IAM Identity Center (Mapear para esse valor de string ou atributo de usuário no Centro de Identidade do IAM): ${user:email} Formato: Basic (Básico)

Os atributos mapeados são enviados para o Amazon Cognito ao fazer login. Certifique-se de que todos os atributos necessários do seu grupo de usuários estejam mapeados aqui. Para saber mais sobre os atributos disponíveis para mapeamento, consulte Atributos do Centro de Identidade do IAM compatíveis.

8.    Salve suas alterações.

9.    Escolha o botão Assign Users (Atribuir usuários) e, em seguida, atribua seu usuário à aplicação.

Configurar o Centro de Identidade do IAM como um IdP SAML em seu grupo de usuários

1.    Configure um IdP SAML em seu grupo de usuários. Aplique as seguintes configurações:

Em Metadata document (Documento de metadados), forneça o URL dos metadados ou faça upload do arquivo que baixou na etapa 4 da seção anterior. Para obter mais informações, consulte Integrar provedores de identidade SAML de terceiros a grupos de usuários do Amazon Cognito.

Insira seu Provider name (Nome do provedor) SAML. Para obter mais informações, consulte Escolher nomes de provedores de identidade SAML.

(Opcional) Insira quaisquer identificadores SAML.

2.    Configure um mapeamento de atributos do provedor SAML. Aplique as seguintes configurações:

No campo SAML attribute (Atributo SAML), forneça um valor de email que corresponda ao valor do atributo do usuário fornecido na etapa 7 da seção anterior. No campo User pool attribute (Atributo do grupo de usuários), selecione Email (E-mail) na lista suspensa.

Observação: adicione quaisquer outros atributos configurados no Centro de Identidade do IAM na etapa 7 da seção anterior.

3.    Salve suas alterações.

Integre o IdP ao cliente da aplicação de grupo de usuários

1.    Faça login no novo console do Amazon Cognito.

2.    Escolha User Pools (Grupos de usuários) e selecione um grupo de usuários apropriado.

3.    Escolha a guia App integration (Integração de aplicações) e escolha App client list (Lista de clientes de aplicações).

4.    Selecione o cliente de aplicação apropriado.

5.    Na seção Hosted UI (Interface do usuário hospedada), escolha Edit (Editar).

6.    Selecione o IdP apropriado.

7.    Salve suas alterações.

Teste a configuração

1.    Inicie uma interface de usuário hospedada ou construa o URL do endpoint de login usando o seguinte padrão de nomenclatura:

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

Por exemplo: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

Para OAuth 2.0 grant types (Tipos de concessão de OAuth 2.0), escolha Authorization code grant (Concessão de código de autorização) para que o endpoint de login solicite que o Amazon Cognito retorne os códigos de autorização quando os usuários fizerem login. Para os OAuth 2.0 grant types (Tipos de concessão de OAuth 2.0), escolha Implicit grant (Concessão implícita) para que o Amazon Cognito retorne tokens de acesso quando os usuários fizerem login. Em seguida, substitua response_type=code por response_type=token no URL.

2.    Escolha IAM IdC (IdC IAM).

Se você for redirecionado para o URL de retorno de chamada do seu cliente de aplicação, então você já estará conectado como usuário em seu navegador. Os tokens do grupo de usuários aparecem diretamente no URL da barra de endereço do navegador.

Observação: para pular esta etapa, crie um URL de endpoint de autorização com o seguinte padrão de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    Insira as credenciais do usuário e escolha Login.

4.    Quando você é redirecionado para o URL de retorno de chamada que inclui um código ou token do Amazon Cognito na barra de endereço do navegador, a configuração está concluída.

Observação: o Amazon Cognito aceita somente logins iniciados por provedores de serviços (SP). É necessário usar o endpoint de login ou o endpoint de autorização para testar a configuração. Iniciar um login iniciado pelo IDP com o portal de acesso da AWS para o Centro de Identidade do IAM não funciona.

---