配置第三方 SAML 身份提供者 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置第三方 SAML 身份提供者

如果要将 SAML 身份提供者(IdP)添加到用户池,则必须在 IdP 的管理界面中进行一些配置更新。本节介绍如何格式化您必须提供给 IdP 的值。您还可以了解如何检索用于向用户池标识 IdP 及其 SAML 声明的静态或活动 URL 元数据文档。

要配置第三方 SAML 2.0 身份提供者(IdP)解决方案以使用 Amazon Cognito 用户池的联合身份验证,您必须配置 SAML IdP 以重定向到以下断言使用者服务(ACS)URL:https://mydomain.us-east-1.amazoncognito.com/saml2/idpresponse。如果您的用户群体具有 Amazon Cognito 域,则可以在 Amazon Cognito 控制台中您的用户群体的 App integration(应用程序集成)选项卡中找到用户群体域路径。

一些 SAML IdP 要求您在表单 urn:amazon:cognito:sp:us-east-1_EXAMPLE 中提供 urn(也称为受众 URI 或 SP 实体 ID)。您可以在 Amazon Cognito 控制台的用户池概览下找到用户池 ID。

您还必须配置 SAML IdP,以便为用户池中您指定为必需属性的任何属性提供值。通常,email 是用户池的必需属性,在这种情况下,SAML IdP 必须在其 SAML 断言中提供某种形式的 email 声明,且您必须将该声明映射到该提供者的属性。

以下第三方 SAML 2.0 IdP 解决方案的配置信息是开始使用 Amazon Cognito 用户池设置联合身份验证的一个很好的起点。有关最新信息,请直接查阅提供者的文档。

要签署 SAML 请求,必须将 IdP 配置为信任由您的用户池签名证书签署的请求。要接受加密的 SAML 响应,必须将 IdP 配置为对用户池的所有 SAML 响应进行加密。您的提供者将提供有关配置这些特征的文档。有关 Microsoft 的示例,请参阅配置 Microsoft Entra SAML 令牌加密

注意

Amazon Cognito 只需要身份提供者元数据文档。您的提供者可能会提供与 SAML 2.0 进行 Amazon Web Services 账户 联合身份验证的配置信息;这些信息与 Amazon Cognito 集成无关。

解决方案 更多信息
Microsoft Active Directory 联合身份验证服务 (AD FS) 联合身份验证元数据浏览器
Okta 如何下载用于 SAML 应用程序集成的 IdP 元数据和 SAML 签名证书
Auth0 将 Auth0 配置为 SAML 身份提供者
Ping Identity(PingFederate) 从 PingFederate 导出 SAML 元数据
JumpCloud SAML 配置备注
SecureAuth SAML 应用程序集成