将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成

要配置第三方 SAML 2.0 身份提供商解决方案以使用 Amazon Cognito 用户池的联合身份验证,您必须输入一个重定向或登录 URL,即 https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse。您可以在域名控制台页面Amazon Cognito 控制台

注意

在 2017 年 8 月 10 日前的公开测试期间,您在用户池中创建的任何 SAML 身份提供商都具有重定向 URL https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login/redirect。如果您的用户池中的公开测试版中具有这些 SAML 身份提供商之一,则必须执行以下操作之一:

  • 将其替换为使用新的重定向 URL 的新身份提供商。

  • 更新您的 SAML 身份提供商中的配置,以接受旧的和新的重定向 URL。

Amazon Cognito 中的所有 SAML 身份提供商都将切换到新的 URL,旧的 URL 将于 2017 年 10 月 31 日停止工作。

对于一些 SAML 身份提供商,您必须以 urn:amazon:cognito:sp:<yourUserPoolID> 格式提供 urn /受众 URI/SP 实体 ID。您可以在常规设置选项卡。

您还必须配置 SAML 身份提供商,为您用户池中需要的任意属性提供属性值。通常,email 是用户池的必需属性,这种情况下 SAML 身份提供商将需要在 SAML 断言中提供 email 值 (声明)。

以下链接将帮助您配置第三方 SAML 2.0 身份提供商解决方案以使用 Amazon Cognito 用户池的联合身份验证。

注意

身份提供商支持已内置在 Amazon Cognito 中,因此,您只需转至以下提供商站点即可获取 SAML 元数据文档。您可以在提供商网站上查看有关与 Amazon 集成的详细说明,但您不需要这些说明。

解决方案 更多信息
Microsoft Active Directory 联合身份验证服务 (AD FS) 您可以从以下地址下载 ADFS 联合身份验证服务器的 SAML 元数据文档:https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
Okta 在 Okta 中将 Amazon Cognito 用户池配置为应用程序后,您可以在管理员部分。选择应用程序,选择 Sign On (登录) 部分,然后查看 Settings for SAML (SAML 设置) 下方的内容。该 URL 应类似于 https://<app-domain>.oktapreview.com/app/<application-ID>/sso/saml/metadata
Auth0 从 Auth0 控制面板获取元数据下载文档。选择 Clients (客户端),然后选择 Settings (设置)。向下滚动,选择 Show Advanced Settings (显示高级设置),然后查找您的 SAML Metadata URL (SAML 元数据 URL)。它应该类似于 https://<your-domain-prefix>.auth0.com/samlp/metadata/<your-Auth0-client-ID>
Ping 身份 对于 PingFederate,您可以在通过文件提供一般 SAML 元数据中找到有关下载元数据 XML 文件的说明。