如何整合 IAM Identity Center 與 Amazon Cognito 使用者集區？

簡短描述

Amazon Cognito 使用者集區允許透過第三方 IdP 登入。使用者可以透過第 2.0 版安全聲明標記語言 (SAML 2.0) IdP 使用 IAM Identity Center 來建立聯合身分。如需詳細資訊，請參閱聯合身分登入在 Amazon Cognito 使用者集區中的運作方式。

與 IAM Identity Center 整合的使用者集區讓使用者可以從 Amazon Cognito 取得使用者集區權杖。如需詳細資訊，請參閱搭配使用者集區使用權杖。

解決方案

若要整合 Amazon Cognito 使用者集區與 IAM Identity Center，請執行下列步驟。

**注意：**如果您已有附應用程式用戶端的使用者集區，請略過下列區段。

使用應用程式用戶端和網域名稱建立 Amazon Cognito 使用者集區

1.    建立使用者集區。

2.    新增應用程式用戶端並設定託管 Web UI。

3.    為您的使用者集區新增網域名稱。

**注意：**如果您已有可用的 IAM Identity Center 環境，請略過下列區段。

啟動 IAM Identity Center 並新增使用者

1.    啟動 IAM Identity Center 之前，請先檢閱先決條件和注意事項。

2.    啟動 IAM Identity Center。

3.    選擇您的身分來源並建立使用者。

從 IAM Identity Center 主控台設定 SAML 應用程式

1.    打開 IAM Identity Center console (IAM 身分中心主控台)，然後在導覽窗格中選擇應用程式。

2.    選擇新增應用程式和新增自訂 SAML 2.0 應用程式，然後選擇下一步。

3.    在設定應用程式頁面上，輸入顯示名稱和描述。

4.    複製 IAM Identity Center SAML 中繼資料檔案的 URL，或選擇下載超連結。您可以在稍後的步驟中使用這些資源，在使用者集區中建立 IdP。

5.    在應用程式中繼資料下方，選擇手動輸入您的中繼資料值。然後提供下列值。

**重要事項：**請務必將 domain-prefix、region 和 userpool-id 值替換為您環境的特定資訊。

應用程式聲明消費者服務 (ACS) URL：https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse 應用程式 SAML 對象：urn:amazon:cognito:sp:<userpool-id>

6.    選擇 Submit (提交)。然後，前往您新增之應用程式的詳細資訊頁面。

7.    選取動作下拉式清單，然後選擇編輯屬性映射。然後，提供下列屬性。

應用程式中的使用者屬性：主旨
注意：****主旨會預填。
在 IAM Identity Center 中對映此字串值或使用者屬性：${user:subject}
格式：持續

應用程式中的使用者屬性：電子郵件
在 IAM Identity Center 中對映此字串值或使用者屬性：${user:email} 格式：基本

登入時，對映的屬性會傳送至 Amazon Cognito。請確定所有使用者集區的必要屬性都已在此對映。若要進一步了解可用於映射的屬性，請參閱支援的 IAM Identity Center 屬性。

8.    儲存您的變更。

9.    選擇指派使用者按鈕，然後將您的使用者指派給應用程式。

在使用者集區中將 IAM Identity Center 設定為 SAML IdP

1.    在您的使用者集區中設定 SAML IdP。套用以下設定：

在中繼資料文件下方，提供中繼資料 URL 或上傳您在上一部分的步驟 4 中下載的檔案。如需詳細資訊，請參閱整合第三方 SAML 身分提供者與 Amazon Cognito 使用者集區。

輸入您的 SAML 提供者名稱。如需詳細資訊，請參閱選擇 SAML 身分提供者名稱。

(選擇性) 輸入任何 SAML 識別碼。

2.    設定 SAML 提供者屬性映射。套用以下設定：

在 SAML 屬性欄位中，提供與上一部分的步驟 7 中提供的使用者屬性值相符的電子郵件值。在使用者集區屬性欄位中，從下拉式清單選取電子郵件。

**注意：**在上一部分的步驟 7 中新增 IAM Identity Center 中設定的任何其他屬性。

3.    儲存您的變更。

整合 IdP 與使用者集區應用程式用戶端

1.    登入新的 Amazon Cognito 主控台。

2.    選擇使用者集區，然後選取適當的使用者集區。

3.    選擇應用程式整合標籤，然後選擇應用程式用戶端清單。

4.    選取適當的應用程式用戶端。

5.    在託管 UI 區段中，選擇編輯。

6.    選取適當的 IdP。

7.    儲存您的變更。

測試設定

1.    啟動託管 UI 或使用以下命名模式來建構登入端點 URL：

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

例如：https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

對於 OAuth 2.0 授與類型，選擇授權代碼授與，以便登入端點在使用者登入時提示 Amazon Cognito 傳回授權代碼。對於 OAuth 2.0 授與類型，選擇 Amazon Cognito 的隱含授與，以便在使用者登入時傳回存取權杖。然後，將 URL 中的 response_type=code 替換為 response_type=token。

2.    選擇 IAM IdC。

如果系統將您重新導向到應用程式用戶端的回呼 URL，則表示您已在瀏覽器中以使用者身分登入。使用者集區權杖會直接顯示在 Web 瀏覽器網址列的 URL 中。

注意：若要略過此步驟，請使用下列命名模式建立授權端點 URL：
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    輸入使用者憑證，然後選擇登入。

4.    當系統將您重新導向到回呼 URL (在瀏覽器的網址列中包含來自 Amazon Cognito 的程式碼或權杖) 時，設定即完成。

**注意：**Amazon Cognito 僅支援服務供應商 (SP) 啟動的登入作業。您必須使用登入端點或授權端點來測試設定。使用 IAM Identity Center 的 AWS 存取入口網站來開始 IdP 啟動的登入作業無法正常運作。

---