Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

步骤 4。将使用 SAML 身份提供商的登录添加到用户池 (可选)

您可以允许您的应用程序用户通过 SAML 身份提供商 (IdP) 进行登录。无论您的用户是直接登录还是通过第三方登录,所有用户都在用户池中有一个配置文件。如果您不想添加通过 SAML 身份提供商进行的登录,请跳过此步骤。

您需要更新您的 SAML 身份提供商并配置您的用户池。请参阅 SAML 身份提供商的文档,了解有关如何将您的用户池添加为 SAML 2.0 身份提供商的依赖方或应用程序的信息。

请参阅 SAML 身份提供商的文档,了解有关如何将您的用户池添加为 SAML 2.0 身份提供商的依赖方或应用程序的信息。在 SAML 身份提供商中为 SAML 2.0 POST 绑定配置此终端节点:

https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse

您可以在 Amazon Cognito 控制台Domain name 选项卡上,查找您的用户池的域前缀和区域值。

对于一些 SAML 身份提供商,您还需要采用以下形式提供 SP urn /受众 URI/SP 实体 ID:

urn:amazon:cognito:sp:<yourUserPoolID>

您可以在 Amazon Cognito 控制台中的应用程序客户端设置选项卡上找到您的用户池 ID。

您还应配置 SAML 身份提供商,以便为您的用户池中需要的任何属性提供属性值。通常情况下,email 是用户池的必需属性。在这种情况下,SAML 身份提供商应在 SAML 断言中提供一个 email 值 (声明)。

Amazon Cognito 用户池支持 SAML 2.0 与绑定后终端节点联合。这使您的应用程序不必检索或分析 SAML 断言响应,因为用户池直接通过用户代理从身份提供商接收 SAML 响应。

在您的用户池中配置 SAML 2.0 身份提供商

  1. 转到 Amazon Cognito 控制台。系统可能会提示您输入 AWS 凭证。

  2. 选择 Manage your User Pools

  3. 从列表中选择现有用户池,或创建用户池

  4. 在左侧导航栏上,选择身份提供商

  5. 选择 SAML 以打开 SAML 对话框。

  6. 元数据文档下,通过 SAML IdP 上传元数据文档。还可以输入指向该元数据文档的 URL。有关更多信息,请参阅 将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成

    注意

    建议您提供终端节点 URL (如果它是一个公有终端节点),而不是上传文件,因为这将允许 Amazon Cognito 自动刷新元数据。通常,元数据刷新操作每 6 小时执行一次或在元数据过期前执行 (以时间较早者为准)。

  7. 输入 SAML 提供商名称。有关 SAML 命名的更多信息,请参阅选择 SAML 身份提供商名称

  8. 输入要使用的任何可选 SAML 标识符

  9. 如果希望用户在从 Amazon Cognito 注销的同时从 SAML IdP 注销,请选择启用 IdP 注销流程

    如果启用此流程,在调用 LOGOUT 终端节点 时,将会向 SAML IdP 发送已签名的注销请求。

    配置此终端节点以处理来自 IdP 的注销响应。此终端节点使用 POST 绑定。

    https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/logout

    注意

    如果选择此选项,并且您的 SAML 身份提供商需要已签名的注销请求,则您还需要对您的 SAML IdP 配置 Amazon Cognito 提供的签名证书。

    SAML IdP 将处理已签名的注销请求并从 Amazon Cognito 会话中注销您的用户。

  10. 选择 Create provider

  11. Attribute mapping 选项卡上,至少为必需属性添加映射,通常是 email,如下所示:

    1. 按照您的身份提供商提供的 SAML 断言中的显示,键入 SAML 属性名称。如果身份提供商提供了示例 SAML 断言,这可能有助于您查找名称。一些身份提供商使用简单名称 (如 email),另一些则使用类似于下面的名称:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. 从下拉列表中选择目标用户池属性。

  12. 选择 Save changes

  13. 选择转到摘要页面

有关更多信息,请参阅 向用户池添加 SAML 身份提供商

下一步

步骤 5。安装 Amazon Cognito 用户池 开发工具包

本页内容: