Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Como uso um IdP de terceiros para configurar o Centro de Identidade do IAM para meu grupo de usuários do Amazon Cognito?
Quero usar um provedor de identidades (IdP) de terceiros para configurar o Centro de Identidade do AWS IAM para meu grupo de usuários do Amazon Cognito.
Resolução
Usar um cliente de aplicação e um nome de domínio para criar um grupo de usuários do Amazon Cognito
Observação: se você tiver um grupo de usuários que tenha um cliente de aplicação, vá até a seção Ative o Centro de Identidade do IAM e adicione um usuário.
Conclua as etapas a seguir:
- Crie uma nova aplicação.
- Crie um domínio de prefixo do Amazon Cognito no formato: https://cognitoexample.auth.region.amazoncognito.com. Ou crie um domínio personalizado. Para mais informações, consulte Como configurar um domínio de grupo de usuários.
- (Opcional) Aplique a marca às páginas de login gerenciadas.
Ative o Centro de Identidade do IAM e adicione um usuário
Observação: se você tiver um ambiente do Centro de Identidade do IAM em funcionamento, vá para a seção Configurar uma aplicação SAML.
Conclua as etapas a seguir:
- Analise os Pré-requisitos e as considerações do Centro de Identidade do IAM.
- Ative o Centro de Identidade do IAM.
Observação: para o tipo de instância, escolha uma instância organizacional do Centro de Identidade do IAM que você cria na conta gerencial do AWS Organizations. - Confirme sua fonte de identidade e crie um usuário.
Configurar uma aplicação SAML
Conclua as etapas a seguir:
- Abra o console do Centro de Identidade do IAM.
- No painel de navegação, escolha Aplicações.
- Escolha Adicionar aplicação e selecione Eu tenho uma aplicação que quero configurar em Preferência de configuração.
- Em Tipo de aplicação, selecione SAML 2.0 e escolha Avançar.
- Na página Configurar aplicação, insira um nome de exibição e uma descrição.
- Anote o URL do arquivo de metadados SAML do Centro de Identidade do IAM ou escolha o hiperlink Baixar para baixar o arquivo.
- Em Metadados da aplicação, escolha Digitar manualmente os valores dos metadados. Insira os valores a seguir:
Em URL do Assertion Consumer Service (ACS) da aplicação, digite https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse.
Em Público SAML da aplicação, insira urn:amazon:cognito:sp:userpool-id.
Observação: substitua domain-prefix pelo prefixo do seu domínio, region pela sua região da AWS e userpool-id pelo ID do grupo de usuários. - Escolha Enviar.
- Na página Detalhes da aplicação, escolha a lista suspensa Ações.
- Escolha Editar mapeamentos de atributos e, em seguida, insira os seguintes atributos:
Em Atributo de usuário na aplicação, mantenha o assunto padrão.
Em Mapeia esse valor de string ou atributo de usuário no Centro de Identidade do IAM, insira ${user:subject}.
Em Formato, insira Persistente.
Em Atributo de usuário na aplicação, insira e-mail.
Em Mapeia esse valor de string ou atributo de usuário no Centro de Identidade do IAM, insira ${user:email}.
Em Formato, insira Básico.
Observação: o Centro de Identidade do IAM envia os mapeamentos de atributos para o Amazon Cognito quando você faz login. Certifique-se de mapear todos os atributos necessários do seu grupo de usuários. Para mais informações sobre os atributos de mapeamento disponíveis, consulte Atributos do provedor de identidade externo compatíveis. - Escolha Enviar.
- Na seção Usuários e grupos atribuídos, escolha Atribuir usuários e grupos.
- Encontre seu usuário e escolha Atribuir.
Configure o Centro de Identidade do IAM como um IdP SAML no seu grupo de usuários
Para configurar um IdP SAML em seu grupo de usuários, consulte Como adicionar e gerenciar provedores de identidade SAML em um grupo de usuários. Ao especificar um mapeamento de atributos do provedor SAML, insira um e-mail válido no campo Atributo SAML. Em Atributo do grupo de usuários, selecione e-mail.
Para obter mais informações sobre nomes e identificadores de provedores, consulte Nomes e identificadores do provedor de identidades SAML.
Use o cliente de aplicação do grupo de usuários para integrar o provedor de identidade
Conclua as etapas a seguir:
- Abra o console do Amazon Cognito.
- No painel de navegação, escolha Grupos de usuários.
- Em Aplicações, escolha Clientes de aplicação.
- Selecione um cliente de aplicação.
- Na seção Páginas de login, escolha Editar.
- Na seção Provedores de identidade, selecione seu IdP.
- Escolha Salvar alterações.
Teste a configuração
Para testar o login iniciado por um provedor de serviços (SP), conclua as seguintes etapas:
- Abra o console do Amazon Cognito e escolha Exibir página de login na guia Páginas de login do seu cliente de aplicação. Ou crie o URL do endpoint de login. Use o exemplo de padrão de nomenclatura a seguir e substitua os valores de exemplo pelos seus valores:
https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
Em Tipos de concessão do OAuth 2.0, escolha Concessão implícita. Em seguida, defina response_type como token no URL da solicitação. - Na guia Páginas de login, selecione o IdP do Centro de Identidade do IAM.
Se seu navegador redirecionar você para o URL de retorno de chamada do seu cliente de aplicação, você fez login com sucesso como usuário. Os tokens de grupos de usuários aparecem no URL da barra de endereço do navegador da web.
Observação: para pular essa etapa, crie um URL de endpoint de autorização com o seguinte padrão de nomenclatura:
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes - Insira as credenciais do usuário e selecione Login.
Quando o Amazon Cognito redireciona você para o URL de retorno de chamada com um código ou token, a configuração é concluída.
Para testar o login iniciado pelo provedor de identidades (IdP), conclua as seguintes etapas:
- Abra o console do Amazon Cognito.
- No painel de navegação, escolha Grupos de usuários e selecione seu grupo de usuários.
- No painel de navegação, escolha Provedor social e externo.
- Selecione seu IdP e escolha Editar na seção Informações do provedor de identidade.
- Na seção Login SAML iniciado pelo IdP, escolha Aceitar declarações de SAML iniciadas pelo SP e iniciadas pelo IdP.
Observação: é possível adicionar outros provedores SAML a um cliente de aplicação que aceite um provedor SAML com login iniciado por IdP. Remova outros provedores sociais ou OpenID Connect (OIDC) ou diretórios de grupos de usuários do Cognito do cliente de aplicação. - Escolha Salvar alterações.
- Abra o console do Centro de Identidade do IAM e selecione a aplicação SAML 2.0.
- Escolha o menu suspenso Ações e, em seguida, Editar configuração.
- Em Propriedades da aplicação, adicione o seguinte valor de estado de retransmissão:
identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
Observação: substitua todos os valores de exemplo pelos seus valores. - Escolha Enviar.
- No painel de navegação, selecione Configurações.
- Na seção Origem da identidade, copie o URL do portal de acesso da AWS e abra-o em seu navegador.
- Insira as credenciais do usuário e selecione Login.
- Selecione a aplicação do Cognito.
Se o Amazon Cognito redirecionar você para o URL de retorno de chamada com um código ou token, a configuração estará concluída.
Informações relacionadas
Como o login federado funciona nos grupos de usuários do Amazon Cognito
- Tags
- Amazon Cognito
- Idioma
- Português
Conteúdo relevante
- feita há 9 meses
