AWS cognitos - федеративные удостоверения

Question

Я новичок в AWS и узнаю о Cognito - Federated Identities.

У меня есть требование в моем проекте, где мне нужно аутентифицировать пользователя по Active Directory (поставщик аутентификации SAML), а затем использовать Cognito для предоставления токена доступа.,Это требование, как описано в https://docs.aws.amazon.com/cognito/latest/developerguide/authentication-flow.html в разделе Authflow внешнего провайдера >> Enhanced (Упрощенный) Authflow.

Итак, в основном следующие шаги: -

• Войдите в AD иget Id / auth token
• Передайте этот токен Cognito, который внутренне проверяет AD (провайдер SAML) и выдает токен доступа (токен JWT)
• Пользователь / клиент использует вышеуказанный токен для доступа к AWSресурсы.

Вот мой вопрос: -

Можно ли это сделать, выполнив следующие действия?

• Пользователь / клиент передает имя пользователя и пароль в Cognito.
• Cognito аутентифицирует учетные данные с помощью AD и генерирует токен доступа
• Пользователь / клиент использует вышеуказанный токен для доступа к ресурсам AWS.

Заранее спасибо.

Answer 1

Существует небольшая разница в упомянутом вами процессе, если вы подключаете Cognito Federated Identities с SAML.

1. Пользователь хочет войти в систему и он / она перенаправляется на страницу входа в домен O365 вашим приложением.
2. После ввода учетных данных он будет перенаправлен обратно на указанный URL-адрес приложения с токеном.
3. Передайте этот токен федеративным удостоверениям Cognito и получите токены доступа AWS, которые можно использовать для доступа к ресурсам AWS..

Примечание. Если вы используете Cognito Userpools, подключенные к Cognito Federated Identity Pool, вы можете отказаться от обработки первого шага вручную, если подключите Userpool к AD с помощью SAML.Он также обеспечит интерфейс входа в систему с функцией размещенного интерфейса.Однако этот подход увеличивает стоимость ежемесячно активных федеративных пользователей выше уровня бесплатного пользования 50 и подходит лучше, если вы планируете использовать несколько механизмов аутентификации, таких как Google, Facebook и самостоятельная регистрация.