Как настроить AWS Cognito для SSO: пошаговое руководство

AWS Cognito позволяет включить единую авторизацию (SSO) за 10‑15 минут, если правильно создать пул пользователей и настроить провайдеры идентификации. В 2026 году более 85% новых облачных проектов используют SSO для упрощения доступа и повышения безопасности.

Как создать пул пользователей в AWS Cognito?

Для начала необходимо создать новый пул пользователей в консоли AWS — это базовый контейнер для всех ваших аккаунтов.

• Откройте AWS Management Console и выберите «Cognito» → «Manage User Pools».
• Нажмите «Create a user pool», задайте имя, например MyAppSSOPool, и нажмите «Review defaults».
• В разделе «Attributes» включите email и phone_number, чтобы обеспечить мультифакторную аутентификацию.
• Сохраните пул, нажав «Create pool». После создания вы получите Pool ID и Client ID, которые понадобятся дальше.

Почему использовать SAML 2.0 для SSO в Cognito?

SAML 2.0 обеспечивает совместимость с большинством корпоративных IdP (Identity Provider) и гарантирует передачу атрибутов пользователя в зашифрованном виде.

• Поддержка Azure AD, Okta, OneLogin и других популярных IdP.
• В 2026 году более 70% компаний используют SAML для корпоративного SSO, что повышает доверие к процессу.
• Снижение риска фишинга: пользователь аутентифицируется один раз в IdP, а не в каждом сервисе.

Что нужно настроить в приложении для интеграции SSO?

После создания пула и провайдера SAML необходимо добавить клиентское приложение в Cognito и указать URL‑ы перенаправления.

• В консоли Cognito выберите ваш пул → «App clients» → «Add an app client».
• Задайте имя, отключите «Generate client secret», чтобы использовать только публичный клиент.
• В разделе «App client settings» включите протоколы «SAML» и укажите Callback URL, например https://myapp.example.com/auth/callback и Sign out URL — https://myapp.example.com/.
• Сохраните настройки и скопируйте App client ID для использования в коде.

Как проверить работу SSO после настройки?

Самый простой способ — воспользоваться тестовым входом через IdP и убедиться, что пользователь перенаправляется в ваше приложение без повторного ввода пароля.

• Откройте https://myapp.example.com/login и нажмите кнопку «Войти через SSO».
• Вы будете перенаправлены на страницу входа вашего IdP (например, Azure AD). Введите учетные данные.
• После успешной аутентификации IdP вернет SAML‑ответ в Cognito, который создаст JWT‑токен. Проверьте наличие токена в браузере (можно использовать расширение JWT.io).
• Если токен валиден, откройте консоль разработчика и убедитесь, что в payload есть атрибуты email и role (например, «admin»).

Что делать, если возникли ошибки при конфигурации?

Частые ошибки связаны с неверными URL‑ами, несоответствием атрибутов или неправильными сертификатами.

• Проверьте, что Assertion Consumer Service (ACS) URL в IdP точно совпадает с URL, указанным в Cognito.
• Убедитесь, что сертификат IdP загружен в формате PEM и не истек — в 2026 году большинство сертификатов обновляются каждые 2 года.
• Если получаете ошибку 401, проверьте, что в SAML‑атрибуте NameID передается email, а не уникальный идентификатор.
• Для отладки используйте CloudWatch Logs: включите журналирование в разделе «General settings» → «Log level» → «INFO».
• В случае критических сбоев, обратитесь к поддержке AWS, указав ID пула и время ошибки (например, 12.04.2026 15:30 MSK).

Воспользуйтесь бесплатным инструментом Cognito‑Configurator на toolbox-online.ru — работает онлайн, без регистрации.