Für AWS Cognito als Identity Provider für das OpenID Connect Plugin
- Klicken Sie in der AWS Cognito Webkonsole auf die Schaltfläche „Benutzerpool erstellen“ (Create a User Pool).
- Klicken Sie auf „Standards überprüfen“ (Review Defaults), um größtenteils die Standardeinstellungen zu verwenden.
2a. Bevor Sie den Pool erstellen, stellen Sie sicher, dass Sie auf „App-Client hinzufügen“ (Add an App Client) klicken.
2b. Erstellen Sie einen App-Client; vergeben Sie einen Namen und deaktivieren Sie alles außerEnable refresh token based authentication (ALLOW_REFRESH_TOKEN_AUTH).
3. Klicken Sie auf „Pool erstellen“ (Create pool).
4. Unter „Allgemeine Einstellungen“ (General Settings) im linken Menü sollten Sie nun auf „App-Client“ klicken und die Werte für
App client id und App client secret notieren.5. Gehen Sie im linken Menü zu „App-Integration“ und klicken Sie auf „Domänenname“ (Domain name). Geben Sie hier eine Subdomain ein. Der Name hier ist die Domain, über die Benutzer weitergeleitet werden, wenn sie sich anmelden.
6. Klicken Sie oben links in der AWS Cognito-Konsole auf „Föderierte Identitäten“ (Federated Identities); es ist etwas schwer zu finden.
7. Klicken Sie dort auf „Neuen Identitätspool erstellen“ (Create new identity pool).
8. Geben Sie dem Identitätspool einen Namen.
8b. Unter dem Abschnitt „Authentifizierungsanbieter“ (Authentication providers) verwenden Sie die Benutzerpool-ID des zuvor erstellten Benutzerpools und die App-Client-ID des zuvor erstellten App-Clients.
9. Klicken Sie auf „Pool erstellen“ (Create Pool) und erlauben Sie der Konsole, die IAM-Rollen zu erstellen, die mit dem neuen Identitätspool verwendet werden sollen.
10. An diesem Punkt haben Sie praktisch alles, was Sie benötigen, um Ihre Discourse-Instanz mit den korrekten Site-Einstellungen einzurichten, vorausgesetzt, Sie haben das Plugin installiert.
openid connect enabled: Aktivieren Sie dies.
openid connect client id: Verwenden Sie die App Client Id, die wir in den vorherigen Schritten abgerufen haben.
openid connect client secret: Verwenden Sie das App Client Secret, das wir in den vorherigen Schritten gesehen haben.
openid connect discovery document: Der Link für die Discovery-Dokument-URL folgt dem untenstehenden Format. Das Format für userPoolId finden Sie oben im Screenshot zu Schritt 8b:
https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/openid-configuration
Um zu überprüfen, ob das URL-Format korrekt ist, fügen Sie die URL einfach in Ihren Browser ein. Sie sollten eine schöne JSON-Antwort erhalten, die den Autorisierungsendpunkt, den Aussteller (issuer) und weitere Informationen zurückgibt.
openid connect authorize scope: openid email
Weitere nützliche Informationen
- Stackoverflow: Kontext zum URL-Format für die Discovery-Dokument-URL
- Stackoverflow: Wenn Sie einen Regex-Abgleichfehler erhalten, wenn Sie die Discovery-Dokument-URL prüfen, überprüfen Sie, ob Sie statt der Benutzerpool-ID das falsche Format in der Discovery-Dokument-URL verwendet haben.
- Stackoverflow: Stellen Sie sicher, dass Sie den Domänennamen einrichten, sonst erhalten Sie dieses Problem.