As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como desconectar usuários do SAML com logout único O Amazon Cognito oferece suporte ao [logout único](http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5.3.Single%20Logout%20Profile|outline) (SLO) do SAML 2.0. Com o SLO, seu aplicativo pode desconectar usuários de seus provedores de identidade SAML (IdPs) quando eles se desconectam do seu grupo de usuários. Dessa forma, quando os usuários quiserem entrar na aplicação novamente, precisam fazer a autenticação com o IdP SAML. Caso contrário, eles podem ter cookies do navegador do IdP ou do grupo de usuários que os transmitem à aplicação sem a necessidade de inserir credenciais. Quando você configura seu IdP SAML para aceitar o **Fluxo de logout**, o Amazon Cognito redireciona seu usuário com uma solicitação de logout de SAML assinada para seu IdP. O Amazon Cognito determina o local de redirecionamento a partir do URL `SingleLogoutService` nos metadados do seu IdP. O Amazon Cognito assina a solicitação de desconexão com seu certificado de assinatura do grupo de usuários. ![Diagrama de fluxo de autenticação de logout do SAML do Amazon Cognito. O usuário solicita o logout e o Amazon Cognito o redireciona para seu provedor com uma solicitação de desconexão do SAML.](http://docs.aws.amazon.com/pt_br/cognito/latest/developerguide/images/scenario-authentication-saml-sign-out.png) Quando você direciona um usuário com uma sessão de SAML para o endpoint `/logout` do grupo de usuários, o Amazon Cognito redireciona seu usuário do SAML com a seguinte solicitação para o endpoint de SLO especificado nos metadados do IdP. ``` https://{{[SingleLogoutService endpoint]}}? SAMLRequest={{[encoded SAML request]}}& RelayState={{[RelayState]}}& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature={{[User pool RSA signature]}} ``` Em seguida, seu usuário retorna ao seu endpoint `saml2/logout` com um `LogoutResponse` de seu IdP. Seu IdP deve enviar a `LogoutResponse` em uma solicitação `HTTP POST`. Em seguida, o Amazon Cognito faz o redirecionamento para o destino de redirecionamento a partir da solicitação inicial de desconexão. Seu provedor de SAML pode enviar um `LogoutResponse` com mais de um `AuthnStatement`. O `sessionIndex` no primeiro `AuthnStatement` em uma resposta desse tipo deve corresponder ao `sessionIndex` na resposta SAML que autenticou originalmente o usuário. Se `sessionIndex` estiver em qualquer outro `AuthnStatement`, o Amazon Cognito não reconhecerá a sessão e seu usuário não será desconectado. ------ #### [ Console de gerenciamento da AWS ] **Para configurar a desconexão do SAML** 1. Crie um [grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html), um [cliente de aplicação](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-configuring-app-integration.html) e um IdP SAML. 1. Ao criar ou editar seu provedor de identidades SAML, em **Informações do provedor de identidades**, marque a caixa com o título **Adicionar fluxo de saída**. 1. No menu **Provedores sociais e externos** do grupo de usuários, selecione seu IdP e localize o **Certificado de assinatura**. 1. Escolha **Baixar como .crt**. 1. Configure seu provedor SAML para oferecer suporte ao logout único e à assinatura de solicitações do SAML, além de carregar o certificado de assinatura do grupo de usuários. Seu IdP deve redirecionar para `/saml2/logout` no domínio do grupo de usuários. ------ #### [ API/CLI ] **Para configurar a desconexão do SAML** Configure o logout único com o `IDPSignout` parâmetro de uma solicitação de [UpdateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateIdentityProvider.html)API [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)ou. Veja a seguir um exemplo de `ProviderDetails` de um IdP compatível com o logout único do SAML. ``` "ProviderDetails": { "MetadataURL" : "{{https://myidp.example.com/saml/metadata}}", "IDPSignout" : "{{true}}",, "RequestSigningAlgorithm" : "rsa-sha256", "EncryptedResponses" : "{{true}}", "IDPInit" : "{{true}}" } ``` ------