如何使用适用于AWS Cognito的AD FS SAML?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何使用适用于AWS Cognito的AD FS SAML?相关的知识,希望对你有一定的参考价值。

我正在设置AD FS以生成SAML的元数据以连接到AWS Cognito用户池。我已经生成了xml元数据并将其上传到用户池。我应该在AD FS网站上创建Trust中继吗?是否还有其他步骤可让我的AD用户可以登录Web应用程序?

答案

对于ADFS 2.0,以下是步骤:

  1. 转到“信任关系” - >“依赖方信任” - >“添加依赖方信任”。这将启动一个向导。
  2. 选择“手动输入有关信赖方的数据”选项。
  3. 输入显示名称。
  4. 选择ADFS 2.0
  5. 在下一个屏幕上。不要配置证书。
  6. 启用对“SAML 2.0 SSO服务URL”的支持
  7. 添加依赖方信任标识符,该标识符将为“urn:amazon:cognito:sp:”
  8. 选择“允许所有用户访问此依赖方”
  9. 单击完成。

现在,您将在列表中看到已配置的信赖方信任。信任已经建立,但我们仍然需要设置当用户使用此依赖方进行身份验证时发送的声明。右键单击依赖方信任,然后单击“编辑声明规则”

  1. 选择声明规则名称
  2. 如果您的用户位于Active Directory中,则属性存储可以是Active Directory
  3. 将LDAP属性(例如电子邮件地址)映射到传出声明类型(例如电子邮件)

Cognito端的配置非常简单,只需上传metadata.xml或提供托管metadata.xml的URL即可。

如果您使用的是URL,那么我们会定期提取最新的证书。

以上是关于如何使用适用于AWS Cognito的AD FS SAML?的主要内容,如果未能解决你的问题,请参考以下文章

如何将 AD FS 组成员身份映射到自定义 AWS Cognito 属性?

使用 AWS Cognito 和 AD FS 作为 Web 应用程序的身份验证

AWS Cognito:注册/登录后如何在 .Net 中发出身份验证请求

如何安全地存储适用于 iOS 的 AWS 服务 ID?

将 Microsoft(个人和工作 Azure AD)OIDC 集成到 AWS Cognito

AWS Amplify SPA React + Cognito(已启用 Microsoft Azure Ad Enterprise SSO)+ Microsoft Graph API