如何继续进行适用于AWS Cognito的AD FS SAML? [英] How to proceed with AD FS SAML for AWS Cognito?

问题描述

我正在设置AD FS以生成用于SAML的元数据，以连接到AWS Cognito用户池.我已经生成了xml元数据并将其上传到用户池.我应该在AD FS站点上创建信任中继吗?还有其他步骤可以使我的AD用户可用于Web应用程序登录吗?

I am setting up AD FS to generate metadata for SAML to connect to AWS Cognito User pools. I already generated the xml metadata and uploaded it to the User pool. Should I create Trust relays on AD FS site? Is there any other steps to make my AD users available for web app sign in?

推荐答案

对于ADFS 2.0，请按以下步骤操作:

For ADFS 2.0 here are the steps:

1. 转到信任关系"->信赖方信任"->添加信赖方信任".这将启动一个向导.
2. 选择手动输入有关依赖方的数据"选项.
3. 输入显示名称.
4. 选择ADFS 2.0
5. 在下一个屏幕上.不要配置证书.
6. 启用对"SAML 2.0 SSO服务URL"的支持
7. 添加依赖方信任标识符，该标识符将为"urn:amazon:cognito:sp:"
8. 选择允许所有用户访问此依赖方"
9. 单击完成.

现在，您将在列表上看到已配置的信赖方信任.信任关系已经建立，但是我们仍然需要设置当用户使用此依赖方进行身份验证时发送的声明.右键单击依赖方"信托，然后单击编辑索赔规则"

Now you will see your configured Relying Party Trust on the list. The trust has been established, but we still need to setup what claims are sent when users authenticate using this Relying Party. Right click on the Relying Party trust and click "Edit Claim Rules"

1. 选择索赔规则名称
2. 如果您的用户位于Active Directory中，则属性存储可以是Active Directory
3. 将LDAP属性(例如电子邮件地址)映射到外发声明类型(例如电子邮件)

在Cognito端的配置非常简单，您只需上载metadata.xml或提供一个托管metadata.xml的URL.

The configuration on Cognito side is very simple where you just upload the metadata.xml or provide a URL where the metadata.xml is hosted.

如果您使用的是URL，则我们会定期提取最新的证书.

If you are using the URL, then we do periodically pull the latest cert.

这篇关于如何继续进行适用于AWS Cognito的AD FS SAML?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！