Fatal编程技术网

Active directory 如何继续AWS Cognito的AD FS SAML?

active-directory

Active directory 如何继续AWS Cognito的AD FS SAML?,active-directory,amazon-cognito,aws-cognito,federation,Active Directory,Amazon Cognito,Aws Cognito,Federation,我正在设置AD FS,为SAML生成元数据,以连接到AWS Cognito用户池。我已经生成了xml元数据并将其上载到用户池。我应该在AD FS站点上创建信任中继吗?是否有其他步骤使我的广告用户可以登录web app?对于ADFS 2.0,以下是步骤: 转到“信任关系”->“依赖方信任”->“添加” 依赖方信托”。这将启动一个向导 选择“手动输入依赖方的数据”选项 输入显示名称 选择ADFS 2.0 在下一个屏幕上。不要配置证书 启用对“SAML 2.0 SSO服务URL”的支持 添加将被删除的

我正在设置AD FS,为SAML生成元数据,以连接到AWS Cognito用户池。我已经生成了xml元数据并将其上载到用户池。我应该在AD FS站点上创建信任中继吗?是否有其他步骤使我的广告用户可以登录web app?

对于ADFS 2.0,以下是步骤:

  • 转到“信任关系”->“依赖方信任”->“添加” 依赖方信托”。这将启动一个向导
  • 选择“手动输入依赖方的数据”选项
  • 输入显示名称
  • 选择ADFS 2.0
  • 在下一个屏幕上。不要配置证书
  • 启用对“SAML 2.0 SSO服务URL”的支持
  • 添加将被删除的依赖方信任标识符 “urn:amazon:cognito:sp:”
  • 选择“允许所有用户访问此依赖方”
  • 单击Finish
    • 现在,您将在列表中看到已配置的依赖方信任。信任已经建立,但我们仍然需要设置当用户使用此依赖方进行身份验证时发送的声明。右键单击依赖方信任并单击“编辑索赔规则”

  • 选择索赔规则名称
  • 如果用户在Active Directory中,属性存储可以是Active Directory
  • 将LDAP属性(例如电子邮件地址)映射到传出声明类型(例如电子邮件)
    • Cognito端的配置非常简单,您只需上传metadata.xml或提供一个承载metadata.xml的URL

    如果您正在使用URL,那么我们会定期获取最新的证书。

    非常感谢您提供如此全面的答案!这正是我所想象的。是否有必要拥有一个可公开解析的AD域或私有域。具有自签名证书的本地域就足够了?嗨,法国,你找到关于该域的答案了吗?我已经尝试过这个方法,并且已经成功地针对AD对用户进行了身份验证,但令牌中没有出现声明。你能澄清一下吗?“我们会定期获取最新的证书”-你能详细说明这种情况发生的频率吗。本质上,它意味着在证书轮换期间的停机时间,直到提取新证书为止