Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione dei provider di identità per il bacino d'utenza
<a name="cognito-user-pools-identity-provider"></a>

Con i pool di utenti, puoi implementare l'accesso tramite una varietà di provider di identità esterni ()IdPs. Questa sezione della guida contiene istruzioni per configurare questi provider di identità con il tuo pool di utenti nella console Amazon Cognito. In alternativa, puoi utilizzare l'API dei pool di utenti e un AWS SDK per aggiungere in modo programmatico provider di identità per pool di utenti. Per ulteriori informazioni, consulta [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html).

Le opzioni di provider di identità supportate includono provider di social network come Facebook, Google e Amazon, oltre a provider OpenID Connect (OIDC) e SAML 2.0. Prima di iniziare, configurati con le credenziali amministrative per il tuo IdP. Per ogni tipo di provider, dovrai registrare la tua applicazione, ottenere le credenziali necessarie e quindi configurare i dettagli del provider nel tuo pool di utenti. Gli utenti possono quindi registrarsi e accedere all'applicazione con gli account esistenti dei provider di identità connessi.

Il menu **Social e provider esterni** in **Autenticazione** aggiunge e aggiorna il pool di utenti IdPs. Per ulteriori informazioni, consulta [Accesso al pool di utenti con provider di identità di terze parti](cognito-user-pools-identity-federation.md).

**Topics**
+ [Configurazione dell'accesso dell'utente con un IdP social](#cognito-user-pools-facebook-provider)
+ [Configurazione dell'accesso utente con un IdP OIDC](#cognito-user-pools-oidc-providers)
+ [Configurazione dell'accesso utente con un IdP SAML](#cognito-user-pools-saml-providers)

## Configurazione dell'accesso dell'utente con un IdP social
<a name="cognito-user-pools-facebook-provider"></a>

Puoi utilizzare la federazione per i bacini d'utenza di Amazon Cognito per integrare i provider di identità social, come Facebook, Google e Login with Amazon.

Per aggiungere un provider di identità social, per prima cosa, crea un account per sviluppatori con il provider di identità. Dopo aver creato un account per sviluppatori, registra l'app con il provider di identità. Il provider di identità crea un'ID e un segreto per l'app, i cui valori devono essere configurati nei bacini d'utenza di Amazon Cognito.
+ [Piattaforma di identità Google](https://developers.google.com/identity/)
+ [Facebook per sviluppatori](https://developers.facebook.com/docs/facebook-login)
+ [Login with Amazon](https://developer.amazon.com/login-with-amazon)
+ [Accedi con Apple](https://developer.apple.com/sign-in-with-apple/)

**Per integrare l'accesso utente con un IdP social**

1. Accedi alla [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se richiesto, inserisci le tue AWS credenziali.

1. Nel pannello di navigazione, scegli **User Pools** (Bacini d'utenza) e seleziona i bacini d'utenza che intendi modificare.

1. Scegli il menu **Social e provider esterni**.

1. Scegli l'opzione **Add an identity provider** (Aggiungi un provider di identità) oppure seleziona il provider di identità **Facebook**, **Google**, **Amazon** o **Apple** che hai configurato, individua la voce **Identity provider information** (Informazioni provider di identità) e seleziona **Edit** (Modifica). Per ulteriori informazioni su come aggiungere provider di identità social consulta [Utilizzo di provider di identità social con un pool di utenti](cognito-user-pools-social-idp.md).

1. Inserisci le informazioni del tuo provider di identità social completando uno dei seguenti passaggi, in base alla tua scelta di IdP:  
**Per Facebook, Google e Login with Amazon:**  
Inserisci l'ID dell'app e il segreto app ricevuti al momento della creazione dell'app client.  
**Accedi con Apple**  
Inserisci l'ID del servizio fornito ad Apple, nonché l'ID del team, l'ID della chiave e la chiave privata ricevuti quando è stata creato il client dell'app.

1. Nel campo **Authorized scopes** (Ambiti autorizzati), inserisci i nomi degli ambiti dei provider di identità social che intendi mappare agli attributi del bacino d'utenza. Gli ambiti definiscono gli attributi utente, ad esempio nome ed indirizzo e-mail con cui intendi accedere con l'App. Quando inserisci gli ambiti, usa le seguenti linee guida in base alla tua scelta di IdP:
   + **Facebook**: ambiti separati da virgole. Esempio:

     `public_profile, email`
   + **Google, Login with Amazon e Accedi con Apple**: ambiti separati da spazi. Esempio:
     + **Google:** `profile email openid`
     + **Login with Amazon:** `profile postal_code`
     + **Accedi con Apple:** `name email`
**Nota**  
Per il servizio Accedi con Apple (console), utilizza le caselle di controllo per selezionare gli ambiti.

1. Scegli **Save changes** (Salva modifiche).

1. Dal menu **App client**, scegli un client per l'app dall'elenco, quindi seleziona **Modifica**. Aggiungi il nuovo provider di identità social al client dell'App alla voce **Identity providers** (Provider di identità).

1. Scegli **Save changes** (Salva modifiche).

Per ulteriori informazioni sui social IdPs, consulta[Utilizzo di provider di identità social con un pool di utenti](cognito-user-pools-social-idp.md).

## Configurazione dell'accesso utente con un IdP OIDC
<a name="cognito-user-pools-oidc-providers"></a>

Puoi integrare l'accesso degli utenti tramite un provider di identità OpenID Connect (OIDC), ad esempio Salesforce o Ping Identity.

**Per aggiungere un provider OIDC a un pool di utenti**

1. Passa alla [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se richiesto, inserisci le tue AWS credenziali.

1. Scegli **User Pools** (Bacini d'utenza) dal menu di navigazione.

1. Scegli un bacino d'utenza esistente dall'elenco o [creane uno nuovo](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Scegli il menu **Social e provider esterni** e seleziona **Aggiungi un provider di identità**.

1. Scegli un provider di identità **OpenID Connect**.

1. Inserisci un nome univoco nel campo **Provider name** (Nome provider).

1. Inserisci l'ID client che hai ricevuto dal tuo provider nel campo **Client ID** (ID client).

1. Inserisci il segreto client che hai ricevuto dal tuo provider nel campo **Client secret** (Segreto client).

1. Inserisci gli **Authorized scopes** (Ambiti autorizzati) per questo provider. Gli ambiti definiscono quali gruppi di attributi utente (ad esempio `name` e `email`) verranno richiesti dalla tua applicazione al tuo provider. Gli ambiti devono essere separati da spazi, secondo la specifica [OAuth 2.0](https://tools.ietf.org/html/rfc6749#section-3.3).

   All'utente viene richiesto il consenso a fornire questi attributi alla tua applicazione.

1. Scegli un **Attribute request method** (Metodo della richiesta di attributo) per fornire ad Amazon Cognito il metodo HTTP (GET o POST) da utilizzare per recuperare i dettagli dell'utente dall'endpoint **userInfo** gestito dal tuo provider.

1. Scegli un **Setup method** (Metodo di impostazione) per recuperare gli endpoint OpenID Connect dall'opzione **Auto fill through issuer URL** (Riempimento automatico attraverso URL dell'emittente) o da **Manual input** (Inserimento manuale). Utilizza **la compilazione automatica tramite l'URL dell'emittente** quando il provider dispone di un `.well-known/openid-configuration` endpoint pubblico in cui Amazon Cognito può recuperare URLs gli endpoint`token`,, `userInfo` e. `authorization` `jwks_uri`

1. Inserisci l'URL dell'emittente o`authorization`, `token``userInfo`, e l'`jwks_uri`endpoint del tuo URLs IdP.
**Nota**  
È possibile utilizzare solo i numeri di porta 443 e 80 con rilevamento, compilazione automatica e immissione manuale. URLs Gli accessi utente non riescono se il provider OIDC utilizza porte TCP non standard.  
L'URL dell'emittente deve iniziare con `https://` e non deve terminare con un carattere `/`. Ad esempio, Salesforce usa questo URL:  
`https://login.salesforce.com`   
Il `openid-configuration` documento associato all'URL dell'emittente deve fornire HTTPS URLs per i seguenti valori:`authorization_endpoint`,`token_endpoint`, `userinfo_endpoint` e. `jwks_uri` Allo stesso modo, quando scegli **l'immissione manuale**, puoi inserire solo HTTPS URLs.

1. Per impostazione predefinita, la richiesta OIDC **sub** viene mappata all'attributo del bacino d'utenza **Username**. Puoi mappare altre [richieste](https://openid.net/specs/openid-connect-basic-1_0.html#StandardClaims) OIDC agli attributi del bacino d'utenza. Inserisci la richiesta OIDC e seleziona l'attributo del bacino d'utenza corrispondente dall'elenco a discesa. Ad esempio, l'indirizzo **e-mail** della richiesta viene spesso mappato all'attributo del bacino d'utenza **Email** (E-mail).

1. Mappa gli attributi aggiuntivi dal provider di identità al bacino d'utenza. Per ulteriori informazioni, consulta la sezione [Specificazione di mappature degli attributi del provider di identità per il bacino d'utenza](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-specifying-attribute-mapping.html).

1. Scegli **Create** (Crea).

1. Dal menu **App client**, seleziona un app client dall'elenco. Per aggiungere il nuovo provider di identità SAML al client dell'app, vai alla scheda **Pagine di accesso** e seleziona **Modifica** nella **configurazione delle pagine di accesso gestite**.

1. Scegli **Save changes** (Salva modifiche).

Per ulteriori informazioni su OIDC IdPs, consulta. [Utilizzo di provider di identità OIDC con un pool di utenti](cognito-user-pools-oidc-idp.md)

## Configurazione dell'accesso utente con un IdP SAML
<a name="cognito-user-pools-saml-providers"></a>

Puoi utilizzare la federazione per il bacino d'utenza di Amazon Cognito per l'integrazione con un provider di identità (IdP) SAML. Puoi fornire un documento di metadati, o caricando il file oppure inserendo un URL di endpoint del documento di metadati. Per informazioni su come ottenere documenti di metadati per IdPs SAML di terze parti, consulta. [Configurazione del tuo provider di identità SAML di terze parti](cognito-user-pools-integrating-3rd-party-saml-providers.md)

**Per configurare un provider di identità SAML 2.0 nel bacino d'utenza**

1. Passa alla [console Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se richiesto, inserisci le tue credenziali. AWS 

1. Scegli **User Pools** (Pool di utenti).

1. Scegli un bacino d'utenza esistente dall'elenco o [creane uno nuovo](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Scegli il menu **Social e provider esterno** e seleziona **Aggiungi un provider di identità**.

1. Scegli un provider di identità **SAML**.

1. Inserisci gli **Identifiers** (Identificatori) separati da virgole. Un identificatore indirizza Amazon Cognito a controllare l'indirizzo e-mail di accesso dell'utente e poi indirizza l'utente al provider che corrisponde al suo dominio..

1. Scegli **Add sign-out flow** (Aggiungi flusso di disconnessione) se desideri che Amazon Cognito invii richieste di disconnessione firmate al tuo provider quando un utente si disconnette. Configura il tuo provider di identità SAML 2.0 per inviare risposte di disconnessione all'`https://mydomain.auth.us-east-1.amazoncognito.com/saml2/logout`endpoint creato da Amazon Cognito quando configuri l'accesso gestito. L'endpoint `saml2/logout` utilizza POST vincolanti.
**Nota**  
Se selezioni questa opzione e il provider di identità SAML si aspetta una richiesta di disconnessione con firma, è necessario configurare anche il certificato di firma fornito da Amazon Cognito con il tuo IdP SAML.   
L'IdP SAML elabora la richiesta di disconnessione con firmata e disconnette l'utente dalla sessione Amazon Cognito.

1. Seleziona una **Metadata document source (Fonte del documento di metadati)**. Se il tuo provider di identità fornisce metadati SAML a un URL pubblico, puoi scegliere l'opzione **Metadata document URL (URL del documento di metadati)** e inserire l'URL pubblico. In caso contrario, seleziona **Upload metadata document** (Carica documento di metadati) e seleziona un file di metadati scaricato dal tuo provider in precedenza.
**Nota**  
Se il provider ha un endpoint pubblico, suggeriamo di fornire l'URL di un documento di metadati anziché caricare un file. Se utilizzi l'URL, Amazon Cognito aggiorna automaticamente i metadati. In genere, l'aggiornamento dei metadati avviene ogni 6 ore oppure prima della scadenza dei metadati, in base a ciò che avviene prima.

1. Scegli l'opzione **Map attributes between your SAML provider and your app** (Mappa gli attributi tra il provider SAML e la tua app) per mappare gli attributi del provider SAML al profilo utente nel bacino d'utenza. Includi gli attributi richiesti del bacino d'utenza nella mappa degli attributi. 

   Ad esempio, quando seleziona l'`email` dell'**Attributo del bacino d'utenza**, inserisci il nome dell'attributo SAML così come compare nell'asserzione SAML dal provider di identità. Il tuo provider di identità potrebbe offrire esempi di asserzioni SAML come riferimento. Alcuni provider di identità utilizzano nomi semplici, come `email`, mentre altri utilizzano attributi con formato URL simili a questo:

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Scegli **Create** (Crea).

**Nota**  
Se visualizzi `InvalidParameterException` durante la creazione di un provider di identità SAML con un URL di endpoint di metadati HTTPS, assicurati che l'endpoint di metadati abbia l'SSL configurato correttamente e che vi sia associato un certificato SSL valido. Un esempio di tale eccezione potrebbe essere «Errore nel recupero dei metadati da». *<metadata endpoint>*

**Per configurare l'IdP SAML per l'aggiunta di un certificato di firma**
+ Per ottenere il certificato contenente la chiave pubblica utilizzata dall'IdP per verificare la richiesta di disconnessione firmata, procedi come segue:

  1. Vai al menu **Social e provider esterni** del tuo pool di utenti.

  1. Seleziona il tuo provider SAML,

  1. Scegli **Visualizza certificato di firma**.

Per ulteriori informazioni su SAML, IdPs consulta[Utilizzo di provider di identità SAML con un pool di utenti](cognito-user-pools-saml-idp.md).