Pour AWS Cognito en tant que fournisseur d’identité pour le plugin OpenID Connect
- Cliquez sur le bouton Créer un pool d’utilisateurs dans la console web AWS Cognito
- Cliquez sur Examiner les paramètres par défaut pour utiliser principalement les paramètres par défaut
2a. Avant de créer le pool, assurez-vous de cliquer sur « Ajouter un client d’application »
2b. Créez un client d’application ; donnez-lui un nom et décochez tout sauf « Activer l’authentification basée sur les jetons de rafraîchissement (ALLOW_REFRESH_TOKEN_AUTH) »
3. Cliquez sur Créer un pool
4. Maintenant, sous Paramètres généraux dans le menu de gauche, cliquez sur Client d’application et notez les valeurs pour
ID du client d'application et Secret du client d'application5. Ensuite, sous Intégration d’application dans le menu de gauche, cliquez sur Nom de domaine. Entrez un sous-domaine ici. Le nom ici sera le domaine vers lequel les utilisateurs seront redirigés lorsqu’ils se connecteront.
6. En haut à gauche de la console AWS Cognito, cliquez sur Identités fédérées, c’est un peu difficile à trouver.
7. Une fois là, cliquez sur
Créer un nouveau pool d'identités8. Donnez un nom au pool d’identités
8b. Dans la section
Fournisseurs d'authentification, utilisez l’ID du pool d’utilisateurs du pool d’utilisateurs créé précédemment et l’ID du client d’application du client d’application créé précédemment.
9. Cliquez sur Créer un pool et autorisez la console à créer les rôles IAM à utiliser avec le nouveau pool d’identités
10. À ce stade, vous avez presque tout ce dont vous avez besoin pour configurer votre instance Discourse avec les paramètres de site appropriés, en supposant que vous ayez installé le plugin.
openid connect enabled : activez cette option
openid connect client id : utilisez l’ID du client d'application que nous avons récupéré dans les étapes précédentes
openid connect client secret : utilisez le Secret du client d'application que nous avons vu dans les étapes précédentes
openid connect discovery document : le lien pour l’URL du document de découverte suit le format ci-dessous… vous pouvez voir le format pour userPoolId ci-dessus dans la capture d’écran de l’étape 8b..
https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/openid-configuration
Pour vérifier que le format de l’URL est correct, essayez simplement de le coller dans votre navigateur ; vous devriez obtenir un beau JSON qui retourne le point de terminaison d’autorisation, l’émetteur et d’autres éléments.
openid connect authorize scope : openid email
Autres éléments qui peuvent être utiles
- Stackoverflow : contexte sur le format de l’URL pour l’URL du document de découverte
- Stackoverflow : si vous obtenez une erreur de correspondance regex lorsque vous vérifiez l’URL du document de découverte, vérifiez si vous avez utilisé le mauvais format au lieu de l’ID du pool d’utilisateurs dans l’URL du document de découverte.
- Stackoverflow : assurez-vous de configurer le nom de domaine, sinon vous rencontrerez ce problème