+11

Hướng dẫn cấu hình đăng nhập Cognito AWS thông qua OAuth2 Azure

Sơ lược về Cognito: Amazon Cognito là dịch vụ của Amazon Web Services cung cấp xác thực, ủy quyền và quản lý người dùng cho các ứng dụng web và di động của bạn. Người dùng có thể đăng nhập trực tiếp bằng tên người dùng và mật khẩu hoặc thông qua bên thứ ba như Facebook, Amazon, Google hoặc Apple.

Prerequisite:

  1. Cognito App trên AWS: https://aws.amazon.com/cognito/
  2. Account Azure: https://portal.azure.com/

I. Cấu hình trên Azure

  1. Chọn Single sign-on, sau đó chọn SAML image.png

  2. Ở step 1, chọn edit image.png

  3. Identifier (Entity ID), điền User Pool Id từ Cognito theo định dạng sau urn:amazon:cognito:sp:<yourUserPoolID>

image.png

  1. Reply URL điền theo định dạng: https://<yourDomainPrefix>.auth.<yourRegion>.amazoncognito.com/saml2/idpresponsehttps://<yourDomainPrefix>.auth.<yourRegion>.amazoncognito.com/oauth2/idpresponse

image.png

  1. Điền Logout URL (optional), đây là

image.png

  1. Lưu lại cấu hình và download meta file ở Step 3

image.png

  1. Ở bước tiếp theo, ta thêm user email vào azure, những email đã được thêm vào Azure app mới có thể login bằng azure. Vào "Users and groups", chọn Add user/group

image.png

  1. Chọn None Selected

image.png

  1. Điền user email và chọn select, sau đó nhấn Assign

image.png

II. Cấu hình trên Azure Cognito

  1. Vào Amazon Cogino, chọn User pools, chọn pool đã tạo
  2. Chọn Sign-in experience
  3. Ở block Federated identity provider sign-in, chọn Add identity provider
  4. Chọn option SAML, sau đó nhập provider name và upload meta document (upload file đã download trước đó từ Azure)
  5. Ở block Map attributes between your SAML provider and your user pool, nhập attributes, ở đây mình điền User pool attribute mặc định là email và SAML attribute là http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Sau đó click Add identity provider để lưu

image.png

image.png

  1. Tiếp đến là chúng ta sẽ kích hoạt login bằng SAML đã config ở trên. Chọn tab App Integration, ở block App clients and analytics chọn app client đã tạo
  • Giao diện App client

image.png

  1. Chọn edit Hosted UI, chúng ta điền Allowed callback URLsAllowed sign-out URLs - optional

image.png

  1. Tiếp đến ở block Identity providers, thêm app Azure đã tạo, ở đây mình đã có app Google đã tạo trước đó:

image.png

  1. Chọn tiếp các config dưới đây và lưu lại cấu hình

image.png

III. Kiểm tra

  1. Ở Cognito ở tab Hosted UI chọn View Hosted UI

image.png

  1. Login bằng Microsoft

image.png

  1. Nếu Login thành công Cognito sẽ redirect về url mà bạn đã config ở Cognito với query string ?code=XXX, sau đó bạn có thể dùng code để lấy access_token, id_token, refresh_token... (tài liệu: tại đây)



Mình đã hướng dẫn các bạn setup login với Azure thông qua Cognito, hẹn gặp các bạn ở các series tiếp theo

Cảm ơn các bạn đã đọc.


All Rights Reserved

Viblo
Let's register a Viblo Account to get more interesting posts.