Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

将第三方 SAML 身份提供商与 Amazon Cognito 用户池集成

要配置第三方 SAML 2.0 身份提供商解决方案以对 Amazon Cognito 用户池使用联合身份验证,您必须输入一个重定向或登录 URL,即 https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse。您可以在 Amazon Cognito 控制台Domain name (域名) 控制台页面上,查找您的用户池的域前缀和区域值。

注意

在 2017 年 8 月 10 日前的公开测试期间,您在用户池中创建的任何 SAML 身份提供商都具有重定向 URL https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/login/redirect。如果您的用户池中的公开测试版中具有这些 SAML 身份提供商之一,则必须执行以下操作之一:

  • 将其替换为使用新的重定向 URL 的新身份提供商。

  • 更新您的 SAML 身份提供商中的配置,以接受旧的和新的重定向 URL。

Amazon Cognito 中的所有 SAML 身份提供商都将切换到新的 URL,旧的 URL 将于 2017 年 10 月 31 日停止工作。

对于一些 SAML 身份提供商,您必须以 urn:amazon:cognito:sp:<yourUserPoolID> 格式提供 urn/受众 URI/SP 实体 ID。您可以在 Amazon Cognito 控制台中的应用程序客户端设置选项卡上找到您的用户池 ID。

您还必须配置 SAML 身份提供商,为您 用户池中需要的任意属性提供属性值。通常,email 是用户池的必需属性,这种情况下 SAML 身份提供商将需要在 SAML 断言中提供 email 值 (声明)。

以下链接将帮助您配置第三方 SAML 2.0 身份提供商解决方案以使用 Amazon Cognito 用户池的联合身份验证。

注意

身份提供商支持已内置在 Amazon Cognito 中,因此,您只需转至以下提供商站点即可获取 SAML 元数据文档。您可以在提供商网站上查看有关与 AWS 集成的详细说明,但您不需要这些说明。

解决方案 更多信息
Microsoft Active Directory 联合身份验证服务 (AD FS) 您可以从以下地址下载 ADFS 联合身份验证服务器的 SAML 元数据文档:https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
Okta 在 Okta 中将 Amazon Cognito 用户池配置为应用程序后,您可以在 Okta 控制面板的 Admin 部分中找到元数据文档。选择应用程序,选择 Sign On 部分,然后查看 Settings for SAML 下方的内容。该 URL 应类似于 https://<app-domain>.oktapreview.com/app/<application-ID>/sso/saml/metadata
Auth0 从 Auth0 控制面板获取元数据下载文档。选择 Clients,然后选择 Settings。向下滚动,选择 Show Advanced Settings,然后查找您的 SAML Metadata URL。它应该类似于 https://<your-domain-prefix>.auth0.com/samlp/metadata/<your-Auth0-client-ID>
Ping 身份 对于 PingFederate,您可以在通过文件提供一般 SAML 元数据中找到有关下载元数据 XML 文件的说明。