本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SAML 会话在 Amazon Cognito 用户池中启动
Amazon Cognito 支持服务提供商发起的(SP 发起的)单点登录 (SSO) 和 IDP 发起的 SSO。作为最佳安全实践,请在您的用户池中实施 SP 启动的 SSO。SAML V2.0 技术概述
对于某些企业使用案例,对内部应用程序的访问从企业 IdP 托管的控制面板上的书签开始。当用户选择书签时,IdP 会生成一个 SAML 响应并将其发送到 SP 以向应用程序验证用户身份。
您可以在用户池中配置 SAML IdP 以支持 IdP 启动的 SSO。当你支持 IDP 发起的身份验证时,Amazon Cognito 无法验证它是否已请求收到的 SAML 响应,因为 Amazon Cognito 不会通过 SAML 请求启动身份验证。在 SP 发起的 SSO 中,Amazon Cognito 会设置状态参数,以验证针对原始请求的 SAML 响应。通过 SP 发起的登录,您还可以防范跨站请求伪造 (CSRF)。
有关如何在不希望用户与用户池托管用户界面交互的环境中构建 SAM 的示例,请参阅。示例场景:在企业控制面板中为 Amazon Cognito 应用程序添加书签