本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在用户池中添加和管理 SAML 身份提供商
以下过程演示如何在 Amazon Cognito 用户池中创建、修改和删除 SAML 提供商。
设置 SAML IdP 以添加用户池作为信赖方
-
用户池服务提供商 URN 为:
urn:amazon:cognito:sp:
。Amazon Cognito 要求受众限制值必须与 SAML 响应中的此 URN 相匹配。将您的 IdP 配置为使用以下 POST 绑定端点来发送 IdP 到 SP 的响应消息。us-east-1_EXAMPLE
https://
mydomain.us-east-1.amazoncognito.com
/saml2/idpresponse -
您的 SAML IdP 必须在 SAML 断言中
NameID
填充用户池的所有必需属性。NameID
用于在用户池中唯一标识您的 SAML 联合用户。您的 IdP 必须以一致的、区分大小写的格式传递每个用户的 SAML 名称 ID。用户名 ID 值的任何变化都会创建一个新的用户个人资料。
向您的 SAML 2.0 IDP 提供签名证书
-
要从 Amazon Cognito 下载公钥副本,供您的 IdP 用来验证 SAML 注销请求,请选择用户池的登录体验选项卡,选择您的 IdP,然后在查看签名证书下选择下载为.crt。
您可以使用 Amazon Cognito 控制台删除在用户池中设置的任何 SAML 提供商。
要删除 SAML 提供者
-
在导航窗格中,选择 User Pools(用户池),然后选择要编辑的用户池。
-
选择登录体验选项卡,找到联邦身份提供商登录信息。
-
选择要删除的 SAML IdPs 旁边的单选按钮。
-
当系统提示您 Delete identity provider(删除身份提供商)时,请输入 SAML 提供商的名称以确认删除,然后选择 Delete(删除)。