选择 SAML 身份提供商名称
您需要为 SAML 提供商选择名称。字符串的格式为 [\w\s+=.@-]+,长度最多为 40 个字符。
(可选)您还可以为 SAML 提供商选择标识符。标识符将唯一解析为与用户池关联的身份提供商。通常,每个标识符均对应于一个属于 SAML IdP 代表的公司的域。对于可由不同的公司使用的多租户应用程序,标识符可用于将用户重定向到正确的 IdP。由于可能存在同一公司所拥有的多个域,因此,您可以提供多个标识符。
您可以为每个 SAML 提供商关联最多 50 个标识符。标识符在身份提供商中必须是唯一的。
例如,假定您构建了一个可由两个不同的公司(公司 A 和公司 B)的员工使用的应用程序。公司 A 拥有 domainA.com
和 domainA.co.uk
。公司 B 拥有 domainB.com
。在此示例中,您设置了两个 IdP,一个公司对应一个 IdP:
-
对于 IdP A,您可以定义标识符
DomainA.com
和DomainA.co.uk
。 -
对于 IdP B,您可以定义标识符
DomainB.com
。
在您的应用程序中,您可以提示用户输入其电子邮件地址。通过从电子邮件地址派生域,您可以将用户重定向到正确的 IdP,方式是在对 IdPIdentifier
终端节点的调用中提供 /authorize
中的域。例如,如果用户输入 bob@domainA.co.uk
,则用户将重定向到 IdP A。
由 Amazon Cognito 托管的登录页将自动解析电子邮件地址以派生信息。它会解析电子邮件中的电子邮件域并在调用 /authorize
端点时将其用作 IdPIdentifier
。
-
如果您有多个 SAML IdP 并且全部为它们指定
IdPIdentifier
值,则您将会在托管页面上看到一个用于输入电子邮件地址的框。 -
如果您有多个 IdP,且您未为其中任意一个指定
IdPIdentifier
值,则托管页面将显示 IdP 列表。
如果您构建自己的 UI,则应解析域名,以便它匹配 IdP 设置期间提供的 IdPIdentifiers
。有关 IdP 设置的更多信息,请参阅为用户池配置身份提供商。