选择 SAML 身份提供商名称 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

选择 SAML 身份提供商名称

您需要为 SAML 提供商选择名称。字符串的格式为 [\w\s+=.@-]+,长度最多为 40 个字符。

(可选)您还可以为 SAML 提供商选择标识符。标识符将唯一解析为与用户池关联的身份提供商。通常,每个标识符均对应于一个属于 SAML IdP 代表的公司的域。对于可由不同的公司使用的多租户应用程序,标识符可用于将用户重定向到正确的 IdP。由于可能存在同一公司所拥有的多个域,因此,您可以提供多个标识符。

您可以为每个 SAML 提供商关联最多 50 个标识符。标识符在身份提供商中必须是唯一的。

例如,假定您构建了一个可由两个不同的公司(公司 A 和公司 B)的员工使用的应用程序。公司 A 拥有 domainA.comdomainA.co.uk。公司 B 拥有 domainB.com。在此示例中,您设置了两个 IdP,一个公司对应一个 IdP:

  • 对于 IdP A,您可以定义标识符 DomainA.comDomainA.co.uk

  • 对于 IdP B,您可以定义标识符 DomainB.com

在您的应用程序中,您可以提示用户输入其电子邮件地址。通过从电子邮件地址派生域,您可以将用户重定向到正确的 IdP,方式是在对 IdPIdentifier 终端节点的调用中提供 /authorize 中的域。例如,如果用户输入 bob@domainA.co.uk,则用户将重定向到 IdP A。

由 Amazon Cognito 托管的登录页将自动解析电子邮件地址以派生信息。它会解析电子邮件中的电子邮件域并在调用 /authorize 端点时将其用作 IdPIdentifier

  • 如果您有多个 SAML IdP 并且全部为它们指定 IdPIdentifier 值,则您将会在托管页面上看到一个用于输入电子邮件地址的框。

  • 如果您有多个 IdP,且您未为其中任意一个指定 IdPIdentifier 值,则托管页面将显示 IdP 列表。

如果您构建自己的 UI,则应解析域名,以便它匹配 IdP 设置期间提供的 IdPIdentifiers。有关 IdP 设置的更多信息,请参阅为用户池配置身份提供商