Amazon Cognito mit OIDC

Führen Sie die folgenden Schritte aus, um Single Sign-On (SSO) für Claris Studio mit Amazon Cognito unter Verwendung von OpenID Connect (OIDC) zu konfigurieren. Um Vertrauen zwischen Amazon Cognito und einem Claris Studio-Team herzustellen, müssen Sie:

  • Eine App-Integration erstellen.

  • Diese mit Ihren Claris Studio-Teamdaten aktualisieren.

  • Secrets erstellen.

  • Diese Secrets in Claris Studio speichern.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Administratorzugriff auf eine AWS Cognito-Umgebung verfügen.

Claris Studio Setup-Seite öffnen

  1. Melden Sie sich bei Ihrem Claris Studio-Team an.

  2. Klicken Sie links auf das Register Benutzer und dann auf Externen IdP konfigurieren.

    Claris Studio – Einstellungen für externen IdP

  3. Wählen Sie im Dialogfeld „Externen Identitätsanbieter konfigurieren“ für Protokoll die Option OIDC. Lassen Sie diese Seite geöffnet, um später zu ihr zurückzukehren.

App-Integration

Domäne einrichten

  1. Melden Sie sich bei der AWS-Konsole an und gehen Sie dann zu Cognito.

  2. Gehen Sie zum Abschnitt App Integration.

  3. Klicken Sie auf Create Domain (Domäne erstellen).

  4. Wählen Sie Cognito Domain und geben Sie dann einen Domänennamen ein (z. B. Benutzer-Pool-Name).

    https://{Benutzer-Pool-Name}.auth.us-west-2.amazoncognito.com

    Amazon Cognito, App-Integration, Aktionen > Domäne erstellen

App-Client konfigurieren

  1. Gehen Sie in Cognito zu App Client Settings (App-Client-Einstellungen).

  2. Wählen Sie den von Ihnen erstellten App-Client aus.

  3. Klicken Sie unter Hosted UI (Bereitgestellte UI) auf Edit (Bearbeiten) und geben Sie dann die folgenden Informationen ein:

    • Callback URL: Geben Sie die Studio-QA-Callback-URL aus den Einstellungen des externen Identitätsdienstleisters von Claris Studio ein. Beispiel: 

      https://platform.claris.com/oauth/org/<org-id>/authorize

    • Identity Providers (Identitätsanbieter): Wählen Sie Cognito User Pool (Cognito-Benutzerpool).

    • OAuth 2.0 Grant Types (OAuth 2.0-Gewährungstypen): Wählen Sie Authorization Code Grant (Autorisierungscode-Gewährung).

    • OpenID Connect Scopes (OpenID Connect-Bereiche): Wählen Sie openid, email und profile.

  4. Klicken Sie auf Save Changes (Änderungen speichern).

    Amazon Cognito, App-Clients und Analysen

    Amazon Cognito, Bereitgestellte UI, Bearbeiten

    Amazon Cognito, Details zu bereitgestellter UI

Werte in Claris Studio eingeben

  1. Kopieren Sie in Cognito aus App Client Settings (App-Client-Einstellungen) die Client-ID und das Client-Secret.

    Amazon Cognito, App-Client-Informationen

  2. Gehen Sie zurück zur Claris Studio-Seite, die Sie zuvor geöffnet haben (siehe „Claris Studio Setup-Seite öffnen“).

  3. Wählen Sie im Dialogfeld Externen Identitätsanbieter konfigurieren unter „Protokoll“ die Option OIDC und geben Sie dann die folgenden Informationen ein:

    • Client-ID: Fügen Sie die aus Cognito kopierte Client-ID ein.

    • Client-Secret: Fügen Sie das aus Cognito kopierte Client-Secret ein.

    • Metadaten-URL: Geben Sie Folgendes ein:

      https://cognito-idp.<awsregion>.amazonaws.com/<userpoolid>/.well-known/openid-configuration

  4. Wählen Sie eine oder mehrere Standardgruppen aus, bei denen Sie sich über diesen externen IdP anmelden möchten, und klicken Sie dann auf Anwenden.

    Wenn Sie noch keine Gruppen haben, können Sie hier eine erstellen und später Benutzer hinzufügen. Weitere Informationen finden Sie unter Mit Gruppen arbeiten.

    Claris Studio, Amazon Cognito OIDC externer IdP Konfiguration

  5. Kopieren Sie auf der Seite „Benutzer“ den Link mit der Bezeichnung Anmelde-URL für die Anwendung und stellen Sie ihn den Benutzern zur Verfügung. Durch die Verwendung dieser URL können sie sich mit ihren SSO-Anmeldeinformationen bei Claris Studio anmelden.