Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Déconnexion des utilisateurs SAML à l'aide de la déconnexion unique Amazon Cognito prend en charge la [déconnexion unique](http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5.3.Single%20Logout%20Profile|outline) (SLO) SAML 2.0. Avec SLO, votre application peut déconnecter les utilisateurs de leurs fournisseurs d'identité SAML (IdPs) lorsqu'ils se déconnectent de votre groupe d'utilisateurs. Ainsi, lorsque les utilisateurs souhaitent se reconnecter à votre application, ils doivent s'authentifier auprès de leur IdP SAML. Dans le cas contraire, ils peuvent avoir des cookies de navigateur IdP ou de groupe d'utilisateurs en place qui les transmettent à votre application sans qu'il soit nécessaire qu'ils fournissent des informations d'identification. Lorsque vous configurez votre IdP SAML pour prendre en **charge le flux de déconnexion, Amazon** Cognito redirige votre utilisateur avec une demande de déconnexion SAML signée vers votre IdP. Amazon Cognito détermine l'emplacement de la redirection à partir de l'`SingleLogoutService`URL figurant dans les métadonnées de votre IdP. Amazon Cognito signe la demande de déconnexion avec le certificat de signature de votre groupe d'utilisateurs. ![Schéma du flux d'authentification lors de la déconnexion SAML d'Amazon Cognito. L'utilisateur demande la déconnexion et Amazon Cognito le redirige vers son fournisseur avec une demande de déconnexion SAML.](http://docs.aws.amazon.com/fr_fr/cognito/latest/developerguide/images/scenario-authentication-saml-sign-out.png) Lorsque vous dirigez un utilisateur disposant d'une session SAML vers le point de `/logout` terminaison de votre groupe d'utilisateurs, Amazon Cognito redirige votre utilisateur SAML avec la demande suivante vers le point de terminaison SLO spécifié dans les métadonnées de l'IdP. ``` https://{{[SingleLogoutService endpoint]}}? SAMLRequest={{[encoded SAML request]}}& RelayState={{[RelayState]}}& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature={{[User pool RSA signature]}} ``` Votre utilisateur retourne ensuite sur votre `saml2/logout` terminal avec un identifiant `LogoutResponse` provenant de son IdP. Votre IdP doit envoyer une `LogoutResponse` `HTTP POST` demande. Amazon Cognito les redirige ensuite vers la destination de redirection depuis leur demande de déconnexion initiale. Votre fournisseur SAML peut envoyer un fichier `LogoutResponse` contenant plusieurs `AuthnStatement` fichiers. Le `sessionIndex` premier `AuthnStatement` élément d'une réponse de ce type doit correspondre `sessionIndex` à celui de la réponse SAML qui a initialement authentifié l'utilisateur. S'il se `sessionIndex` trouve dans une autre session`AuthnStatement`, Amazon Cognito ne reconnaîtra pas la session et votre utilisateur ne sera pas déconnecté. ------ #### [ AWS Management Console ] **Pour configurer la déconnexion SAML** 1. Créez un [groupe d'utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html), un [client d'application](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-configuring-app-integration.html) et un IdP SAML. 1. Lorsque vous créez ou modifiez votre fournisseur d'identité SAML, sous **Informations sur le fournisseur d'identité**, cochez la case intitulée **Ajouter un flux de déconnexion.** 1. Dans le menu **Réseaux sociaux et fournisseurs externes** de votre groupe d'utilisateurs, choisissez votre IdP et recherchez le certificat de **signature**. 1. Choisissez **Télécharger au format .crt.** 1. Configurez votre fournisseur SAML pour qu'il prenne en charge la déconnexion unique et la signature des demandes SAML, et téléchargez le certificat de signature du groupe d'utilisateurs. Votre IdP doit être redirigé vers le domaine `/saml2/logout` de votre groupe d'utilisateurs. ------ #### [ API/CLI ] **Pour configurer la déconnexion SAML** Configurez une déconnexion unique avec le `IDPSignout` paramètre d'une requête [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)ou d'une demande d'[UpdateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateIdentityProvider.html)API. Voici un exemple `ProviderDetails` d'IdP qui prend en charge la déconnexion unique SAML. ``` "ProviderDetails": { "MetadataURL" : "{{https://myidp.example.com/saml/metadata}}", "IDPSignout" : "{{true}}",, "RequestSigningAlgorithm" : "rsa-sha256", "EncryptedResponses" : "{{true}}", "IDPInit" : "{{true}}" } ``` ------