我正在设置 AD FS 来为 SAML 生成元数据以连接到 AWS Cognito 用户池。我已经生成了 xml 元数据并将其上传到用户池。我应该在 AD FS 站点上创建信任中继吗?是否有任何其他步骤让我的 AD 用户可以登录 Web 应用程序?
最佳答案
对于 ADFS 2.0,步骤如下:
- 转到“信任关系”->“依赖方信任”->“添加 依赖方信任”。这将启动一个向导。
- 选择“手动输入有关依赖方的数据”选项。
- 输入显示名称。
- 选择 ADFS 2.0
- 在下一个屏幕上。不配置证书。
- 启用对“SAML 2.0 SSO 服务 URL”的支持
- 添加依赖方信任标识符 “urn:amazon:cognito:sp:”
- 选择“允许所有用户访问此信赖方”
- 点击完成。
现在您将在列表中看到您配置的依赖方信任。信任已经建立,但我们仍然需要设置当用户使用此依赖方进行身份验证时发送的声明。右键单击依赖方信任并单击“编辑声明规则”
- 选择声明规则名称
- 如果您的用户在 Active Directory 中,则属性存储可以是 Active Directory
- 将 LDAP 属性(例如电子邮件地址)映射到传出声明类型(例如电子邮件)
Cognito 端的配置非常简单,您只需上传 metadata.xml 或提供托管 metadata.xml 的 URL。
如果您使用的是 URL,那么我们会定期提取最新的证书。
关于active-directory - 如何继续为 AWS Cognito 使用 AD FS SAML?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47655162/