View a markdown version of this page

Le point de terminaison d'assertion IDP SAML - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le point de terminaison d'assertion IDP SAML

Il /saml2/idpresponse reçoit des assertions SAML. Lors de la connexion initiée par le fournisseur de services (SP-initiated), votre application n'interagit pas directement avec ce point de terminaison : votre fournisseur d'identité (IdP) SAML 2.0 redirige votre utilisateur ici avec sa réponse SAML. Pour SP-initiated vous connecter, configurez votre IdP avec le chemin d'accès à saml2/idpresponse votre URL en tant qu'URL du service client d'assertions (ACS). Pour plus d'informations sur le lancement de session, consultezLancement de séance SAML dans les groupes d'utilisateurs Amazon Cognito.

Lors de la IdP-initiated connexion, appelez des demandes adressées à ce point de terminaison dans votre application après avoir connecté un utilisateur auprès de votre fournisseur SAML 2.0. Vos utilisateurs se connectent avec votre IdP dans leur navigateur, puis votre application collecte l'assertion SAML et la soumet à ce point de terminaison. Vous devez soumettre des assertions SAML dans le corps d'une HTTP POST demande via HTTPS. Le corps de votre POST demande doit être un SAMLResponse paramètre et un Relaystate paramètre. Pour de plus amples informations, veuillez consulter Mettre en œuvre la connexion SAML initiée par l'IdP.

Le saml2/idpresponse point de terminaison peut accepter des assertions SAML d'une longueur maximale de 100 000 caractères.

POSTER/saml2/idpresponse

Pour utiliser le /saml2/idpresponse point de terminaison IdP-initiated lors d'une connexion, générez une requête POST avec des paramètres qui fournissent à votre groupe d'utilisateurs des informations sur la session de votre utilisateur.

  • Le client d'application auquel ils souhaitent se connecter.

  • L'URL de rappel à laquelle ils veulent se retrouver.

  • Le champ d'application OAuth 2.0 qu'ils souhaitent demander dans le jeton d'accès de votre utilisateur.

  • L'IdP à l'origine de la demande de connexion.

IdP-initiated paramètres du corps de la demande

Réponse SAML

Une assertion Base64-encoded SAML provenant d'un IdP associé à un client d'application valide et à une configuration IdP dans votre groupe d'utilisateurs.

RelayState

Un RelayState paramètre contient les paramètres de demande que vous transmettriez autrement au oauth2/authorize point de terminaison. Pour obtenir plus d’informations sur ces paramètres, consultez Point de terminaison d’autorisation.

response_type

Type de subvention OAuth 2.0.

client_id

ID du client d'application.

redirect_uri

URL vers laquelle le serveur d’authentification redirige le navigateur une fois qu’Amazon Cognito a autorisé l’utilisateur.

identity_provider

Le nom du fournisseur d'identité vers lequel vous souhaitez rediriger votre utilisateur.

idp_identifier

L'identifiant du fournisseur d'identité vers lequel vous souhaitez rediriger votre utilisateur.

scope

Le champ d'application OAuth 2.0 que vous souhaitez que votre utilisateur demande au serveur d'autorisation.

Exemples de demandes avec réponses positives

Exemple — requête POST

La demande suivante concerne l'octroi d'un code d'autorisation à un utilisateur depuis l'IdP MySAMLIdP dans le client de l'application. 1example23456789 L'utilisateur redirige vers https://www.example.com avec son code d'autorisation, qui peut être échangé contre des jetons incluant un jeton d'accès avec les champs d'application OAuth 2.0, et. openid email phone

POST /saml2/idpresponse HTTP/1.1 User-Agent: USER_AGENT Accept: */* Host: example.auth.us-east-1.amazoncognito.com Content-Type: application/x-www-form-urlencoded SAMLResponse=[Base64-encoded SAML assertion]&RelayState=identity_provider%3DMySAMLIdP%26client_id%3D1example23456789%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com%26response_type%3Dcode%26scope%3Demail%2Bopenid%2Bphone
Exemple — réponse

Voici la réponse à la demande précédente.

HTTP/1.1 302 Found Date: Wed, 06 Dec 2023 00:15:29 GMT Content-Length: 0 x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb Location: https://www.example.com?code=[Authorization code]