我希望将Okta用作基于SAML 2.0的IDP,将AWS Cognito用作服务提供商,使用Cognito用户池来进行联合IDP配置。
我已按照下面列出的AWS网站中提到的所有步骤进行操作 -
Okta不提供任何支持或文档 - https://support.okta.com/help/answers?id=9062A000000QucAQAS&feedtype=SINGLE_QUESTION_DETAIL&dc=xSAML&criteria=OPENQUESTIONS&。
请注意,我已经尝试过Okta作为IDP,与AWS IAM建立了信任关系,并使用Okta用户登录我的AWS账户。按照Okta提供的详细文档,这可以正常工作。但是,我的需求不同,我想在我的AWS cognito用户池中使用Okta作为SAML IDP。
包含要在两端(即AWS和Okta)完成的配置的任何详细文档都会有所帮助。
答案 0 :(得分:6)
我确实通过SAML使用Cognito设置了Okta:
奥克塔侧:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse(对于URL的第一部分,请参见用户池下的“应用集成”->“域名”)。urn:amazon:cognito:sp:<yourUserPoolID>(有关该池ID,请参见用户池“常规设置”)。认知端-用户池:
认知端-身份池:
应该就可以了。 有帮助的资源:https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html
编辑:似乎需要对“听众URI /听众限制Okta”设置进行澄清。正如下面提到的朱利安(Julien)形式为urn:amazon:cognito:sp:region_randomid(即urn:amazon:cognito:sp:eu-west-1_SdsSdwSD3e)一样,您无需添加自己的区域。
答案 1 :(得分:2)
免责声明:我不是SAML专家
我们在这里不得不面对同样的问题。 在Okta中进行身份验证后,我们被重定向到了Cognito登录屏幕。 我试图遵循WenWolf的建议,但没有成功。
我在Firefox中使用SAML-tracer扩展名分析了SAML流。 断言POST之后,重定向URI中隐藏了一条错误消息。
哪个给您:
SAML响应处理中的错误:SAML断言中的受众限制现在允许它用于urn:amazon:cognito:sp:eu-west-1_YYYYYYYY
要在Okta中修复它,
urn:amazon:cognito:sp:IDFoundInAppIntegrationAppClientSettings urn:amazon:cognito:sp:eu-west-1_YYYYYYYY 此ID也显示在Cognito 常规设置>用户和组
的自动生成的组中PS:保留有关NameId和必需的属性映射的其他建议,这些建议在两侧都必须保持一致。