Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Wissenswertes über SAML IdPs in Amazon Cognito Cognito-Benutzerpools
Die Implementierung eines SAML 2.0-IdP ist mit einigen Anforderungen und Einschränkungen verbunden. Lesen Sie diesen Abschnitt, wenn Sie Ihren IdP implementieren. Sie finden dort auch Informationen, die für die Behebung von Fehlern beim SAML-Verbund mit einem Benutzerpool nützlich sind.
**Amazon Cognito verarbeitet SAML-Assertionen für Sie**
Amazon-Cognito-Benutzerpools unterstützen den SAML-2.0-Verbund mit POST-Binding-Endpunkten. Auf diese Weise ist es nicht mehr notwendig, dass Ihre Anwendung SAML-Assertion-Rückmeldungen lädt oder analysiert, da der Benutzerpool die SAML-Rückmeldungen nun direkt von Ihrem IdP über einen Benutzeragenten erhält. Ihr Benutzerpool fungiert als Dienstanbieter (SP) im Namen Ihrer Anwendung. [Amazon Cognito unterstützt SP-initiiertes und IdP-initiiertes Single Sign-On (SSO), wie in den Abschnitten 5.1.2 und 5.1.4 der technischen Übersicht über SAML V2.0 beschrieben.](http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html)
**Geben Sie ein gültiges IdP-Signaturzertifikat an**
Das Signaturzertifikat in Ihren SAML-Provider-Metadaten darf nicht abgelaufen sein, wenn Sie den SAML-IdP in Ihrem Benutzerpool konfigurieren.
**Benutzerpools unterstützen mehrere Signaturzertifikate**
Wenn Ihr SAML-IdP mehr als ein Signaturzertifikat in SAML-Metadaten enthält, stellt Ihr Benutzerpool bei der Anmeldung fest, dass die SAML-Assertion gültig ist, sofern sie mit einem Zertifikat in den SAML-Metadaten übereinstimmt. Jedes Signaturzertifikat darf nicht länger als 4.096 Zeichen sein.
**Behalten Sie den Relay-State-Parameter bei**
Amazon Cognito und Ihr SAML-IdP verwalten Sitzungsinformationen mit einem `relayState`-Parameter.
1. Amazon Cognito unterstützt `relayState`-Werte, die größer als 80 Byte sind. In SAML-Spezifikationen ist zwar angegeben, dass der Wert für `relayState` nicht größer als 80 Byte sein darf, aber in der Branche wird hiervon derzeit häufiger abgewichen. Die Folge ist, dass die Ablehnung von `relayState`-Werten mit mehr als 80 Byte dazu führt, dass für viele Standardintegrationen von SAML-Anbietern Fehler auftreten.
1. Das `relayState` Token ist ein undurchsichtiger Verweis auf Statusinformationen, die von Amazon Cognito verwaltet werden. Amazon Cognito übernimmt keine Garantie für den Inhalt des `relayState`-Parameters. Parsen Sie den Inhalt nicht so, dass Ihre App vom Ergebnis abhängig ist. Weitere Informationen finden Sie in der [Spezifikation zu SAML 2.0](http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html).
**Identifizieren Sie den ACS-Endpunkt**
Ihr SAML-Identitätsanbieter verlangt, dass Sie einen Assertions-Verbraucher-Endpunkt festlegen. Ihr IdP leitet Ihre Benutzer mit ihrer SAML-Assertion an diesen Endpunkt weiter. Konfigurieren Sie den folgenden Endpunkt in Ihrer Benutzerpool-Domäne für SAML-2.0-POST-Binding Ihres SAML-Identitätsanbieters.
```
https://{{Your user pool domain}}/saml2/idpresponse
With an Amazon Cognito domain:
https://{{mydomain.auth.us-east-1.amazoncognito.com}}/saml2/idpresponse
With a custom domain:
https://{{auth.example.com}}/saml2/idpresponse
```
Weitere Informationen zum Erstellen von Benutzerpool-Domänen finden Sie unter [Konfigurieren einer Benutzerpool-Domäne](cognito-user-pools-assign-domain.md).
**Keine wiederholten Assertionen**
Sie können eine SAML-Assertion nicht wiederholen und nicht erneut an Ihren Amazon-Cognito-`saml2/idpresponse`-Endpunkt *wiedergeben*. Eine erneut wiedergegebene SAML-Zusicherung hat eine Assertion-ID, die die ID einer früheren IdP-Antwort dupliziert.
**Die Benutzerpool-ID ist die SP-Entitäts-ID**
Sie müssen Ihrem IdP Ihre Benutzerpool-ID im Service Provider (SP) mitteilen`urn`, die auch als *Zielgruppen-URI* oder *SP-Entitäts-ID* bezeichnet wird. Der Zielgruppen-URI für Ihren Benutzerpool hat das folgende Format.
```
urn:amazon:cognito:sp:{{us-east-1_EXAMPLE}}
```
Sie finden Ihre Benutzerpool-ID unter **Benutzerpool-Übersicht** in der [Amazon Cognito Cognito-Konsole](https://console.aws.amazon.com/cognito/home).
**Ordnen Sie alle erforderlichen Attribute zu**
Konfigurieren Sie Ihren SAML-IdP so, dass dieser Werte für alle in Ihrem Benutzerpool erforderlichen Attribute bereitstellt. Beispielsweise ist `email` ein typisches erforderliches Attribut für Benutzerpools. Bevor sich Ihre Benutzer anmelden können, müssen Ihre SAML-IdP-Assertions einen Anspruch enthalten, den Sie dem **Benutzerpool-Attribut** `email` zuordnen. Weitere Informationen zu Attributzuordnung finden Sie unter [Zuordnung von IdP-Attributen zu Profilen und Tokens](cognito-user-pools-specifying-attribute-mapping.md).
**Für das Assertion-Format gelten spezifische Anforderungen**
Ihr SAML-IdP muss die folgenden Ansprüche in die SAML-Assertion aufnehmen.
+ `NameID`Ein Anspruch. Amazon Cognito ordnet dem Zielbenutzer von eine SAML-Assertion zu. `NameID` Bei `NameID` Änderungen geht Amazon Cognito davon aus, dass die Assertion für einen neuen Benutzer gilt. Das Attribut, auf das Sie `NameID` in Ihrer IdP-Konfiguration festgelegt haben, muss einen dauerhaften Wert haben. Um SAML-Benutzer einem konsistenten Benutzerprofil in Ihrem Benutzerpool zuzuweisen, weisen Sie Ihren `NameID` Anspruch anhand eines Attributs mit einem Wert zu, der sich nicht ändert.
```
carlos
```
Ein Wert `Format` in Ihrem `NameID` IdP-Anspruch von `urn:oasis:names:tc:SAML:1.1:nameid-format:persistent` bedeutet, dass Ihr IdP einen unveränderlichen Wert übergibt. Amazon Cognito benötigt diese Formatdeklaration nicht und weist ein Format von zu, `urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified` falls Ihr IdP kein Format für den Anspruch angibt. `NameID` [Dieses Verhalten entspricht Abschnitt 2.2.2 *Complex Type Name der SAML IDType* 2.0-Spezifikation.](https://groups.oasis-open.org/higherlogic/ws/public/download/35711/sstc-saml-core-errata-2.0-wd-06-diff.pdf/latest)
+ Ein `AudienceRestriction`-Anspruch mit einem `Audience`-Wert, der die SP-Entitäts-ID Ihres Benutzerpools als Ziel der Antwort festlegt.
```
urn:amazon:cognito:sp:{{us-east-1_EXAMPLE}}
```
+ Bei SP-initiiertem Single Sign-On ein `Response` Element mit einem `InResponseTo` Wert der ursprünglichen SAML-Anforderungs-ID.
```
```
**Anmerkung**
IDP-initiierte SAML-Assertionen dürfen *keinen* Wert enthalten. `InResponseTo`
+ Ein `SubjectConfirmationData` Element mit dem `Recipient` Wert Ihres `saml2/idpresponse` Benutzerpool-Endpunkts und, bei SP-initiiertem SAML, einem `InResponseTo` Wert, der der ursprünglichen SAML-Anforderungs-ID entspricht.
```
```
**Von SP initiierte Anmeldeanfragen**
Wenn der [Autorisieren des Endpunkts](authorization-endpoint.md) Ihren Benutzer zur Anmeldeseite Ihres IDP umleitet, schließt Amazon Cognito eine *SAML-Anforderung* in einem URL-Parameter der `HTTP GET`-Anforderung ein. Eine SAML-Anfrage enthält Informationen über Ihren Benutzerpool, einschließlich Ihres ACS-Endpunkts. Sie können diese Anfragen optional mit einer kryptografischen Signatur versehen.
**Signieren Sie Anfragen und verschlüsseln Sie Antworten**
Jeder Benutzerpool mit einem SAML-Anbieter generiert ein asymmetrisches key pair und ein *Signaturzertifikat* für eine digitale Signatur, die Amazon Cognito SAML-Anfragen zuweist. Jeder externe SAML-IdP, den Sie für die Unterstützung verschlüsselter SAML-Antworten konfigurieren, veranlasst Amazon Cognito, ein neues key pair und ein neues *Verschlüsselungszertifikat* für diesen Anbieter zu generieren. Um die Zertifikate mit dem öffentlichen Schlüssel anzusehen und herunterzuladen, wählen Sie in der Amazon Cognito Cognito-Konsole im Menü **Soziale Netzwerke und externe Anbieter** Ihren IdP aus.
Um SAML-Anfragen aus Ihrem Benutzerpool vertrauenswürdig zu machen, stellen Sie Ihrem IdP eine Kopie Ihres SAML 2.0-Signaturzertifikats Ihres Benutzerpools zur Verfügung. Ihr IdP ignoriert möglicherweise SAML-Anfragen, die Ihr Benutzerpool signiert hat, wenn Sie den IdP nicht so konfigurieren, dass er signierte Anfragen akzeptiert.
1. Amazon Cognito wendet eine digitale Signatur auf SAML-Anfragen an, die Ihr Benutzer an Ihren IdP weiterleitet. Ihr Benutzerpool signiert alle Single Logout (SLO) -Anfragen, und Sie können Ihren Benutzerpool so konfigurieren, dass Single Sign-On-Anfragen (SSO) für jeden externen SAML-IdP signiert werden. Wenn Sie eine Kopie des Zertifikats bereitstellen, kann Ihr IdP die Integrität der SAML-Anfragen Ihrer Benutzer überprüfen.
1. Ihr SAML-IdP kann SAML-Antworten mit dem Verschlüsselungszertifikat verschlüsseln. Wenn Sie einen IdP mit SAML-Verschlüsselung konfigurieren, darf Ihr IdP nur verschlüsselte Antworten senden.
**Kodieren Sie nicht-alphanumerische Zeichen**
Amazon Cognito akzeptiert keine 4-Byte-UTF-8-Zeichen wie 😐 oder 𠮷 die Ihr IdP als Attributwert weitergibt. Sie können das Zeichen mit Base64 codieren, um es als Text zu übergeben, und es dann in Ihrer App decodieren.
Im folgenden Beispiel wird der Attributanspruch nicht akzeptiert:
```
😐
```
Im Gegenteil zum vorherigen Beispiel wird der Attributanspruch akzeptiert:
```
8J+YkA==
```
**Der Metadaten-Endpunkt muss über eine gültige Transportschichtsicherheit verfügen**
Wenn Sie `InvalidParameterException` beim Erstellen eines SAML-IdP mit einer HTTPS-Metadatenendpunkt-URL beispielsweise „Fehler beim Abrufen von Metadaten von“ sehen{{}}, stellen Sie sicher, dass für den Metadaten-Endpunkt SSL korrekt eingerichtet ist und dass ihm ein gültiges SSL-Zertifikat zugeordnet ist. Weitere Informationen zur Validierung von Zertifikaten finden Sie unter [Was ist](https://aws.amazon.com/what-is/ssl-certificate/) ein Zertifikat? SSL/TLS .
**Der Metadaten-Endpunkt muss sich auf dem Standard-TCP-Port für HTTP oder HTTPS befinden**
Amazon Cognito akzeptiert nur Metadaten URLs für SAML-Anbieter auf den Standard-TCP-Ports 80 für HTTP und 443 für HTTPS. Aus Sicherheitsgründen empfiehlt es sich, SAML-Metadaten unter einer TLS-verschlüsselten URL mit dem Präfix zu hosten. `https://` Geben Sie Metadaten URLs im Format oder ein. {{`http://www.example.com/saml2/metadata.xml`}} {{`https://www.example.com/saml2/metadata.xml`}} Die Amazon Cognito Cognito-Konsole akzeptiert Metadaten URLs nur mit dem `https://` Präfix. Sie können IdP-Metadaten auch mit [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)und [UpdateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateIdentityProvider.html)konfigurieren.
**App-Clients mit IDP-initiierter SAML können sich nur mit SAML anmelden**
Wenn Sie die Unterstützung für einen SAML 2.0-IdP aktivieren, der die vom IdP initiierte Anmeldung in einem App-Client unterstützt, können Sie diesem App-Client nur andere SAML IdPs 2.0-Dateien hinzufügen. Sie dürfen das Benutzerverzeichnis im Benutzerpool *und* alle externen Identitätsanbieter, die keine SAML sind, nicht zu einem auf diese Weise konfigurierten App-Client hinzufügen.
**Bei Abmeldeantworten muss die POST-Bindung verwendet werden**
Der `/saml2/logout` Endpunkt akzeptiert `LogoutResponse` `HTTP POST` AS-Anfragen. Benutzerpools akzeptieren keine `HTTP GET` verbindlichen Abmeldeantworten.
**Rotation von Zertifikaten für die Signierung**
Amazon Cognito speichert SAML-Metadaten für bis zu sechs Stunden im Cache, wenn Sie Metadaten mit einer URL angeben. Wenn Sie eine Zertifikatsrotation für die Signatur von Metadaten durchführen, konfigurieren Sie Ihre Metadatenquelle so, dass *sowohl* das ursprüngliche als auch das neue Zertifikat für mindestens sechs Stunden veröffentlicht werden. Wenn Amazon Cognito den Cache über die Metadaten-URL aktualisiert, behandelt es jedes Zertifikat als gültig und Ihr SAML-IdP kann beginnen, SAML-Assertionen mit dem neuen Zertifikat zu signieren. Nach Ablauf dieses Zeitraums können Sie das Originalzertifikat aus den veröffentlichten Metadaten entfernen.