指定适用于用户池的身份提供商属性映射 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

指定适用于用户池的身份提供商属性映射

您可以使用 Amazon Web Services Management Console、Amazon CLI 或 API 来指定用户池的身份提供商的属性映射。

有关映射的需知信息

在使用映射之前,请查看下面重要的详细信息:

  • 用户登录您的应用程序时,所需的每个用户池属性必须存在映射。例如,如果您的用户池需要 email 属性来登录,则将此属性映射到身份提供商中的对等属性。

  • 默认情况下,映射的电子邮件地址未经验证。您无法使用一次性代码验证映射的电子邮件地址。而要映射身份提供商的属性来获取验证状态。例如,Google 和大多数 OIDC 提供商都包含 email_verified 属性。

  • 对于每个映射的用户池属性,最大值长度(2048 个字符)必须足够大,才能容纳 Amazon Cognito 从身份提供商处获取的值。否则,当用户登录到您的应用程序时,Amazon Cognito 会报告错误。如果您将自定义属性映射到身份提供商令牌,请将长度设置为 2048 个字符。

  • 对于以下身份提供商,username 用户池属性必须仅映射到特定属性:

    身份提供商 映射到 username 的属性
    Facebook id
    Google sub
    Login with Amazon user_id
    OpenID Connect (OIDC) 提供商 sub
    使用 Apple 登录 sub
  • 当用户登录您的应用程序时,Amazon Cognito 必须能够更新映射的用户池属性。用户通过某个身份提供商登录时,Amazon Cognito 将使用来自该身份提供商的最新信息更新映射的属性。Amazon Cognito 将更新每个映射的属性,即使当前值已经与最新信息匹配也会更新。如果 Amazon Cognito 无法更新属性,则会报告错误。要确保 Amazon Cognito 可以更新属性,请检查以下要求:

    • 映射的用户池属性必须可变。具有可变属性写入权限的应用程序客户端可以更新这些属性。在 Amazon Cognito 控制台中定义用户池属性时,您可以将这些属性设置为可变。或者,如果您使用 CreateUserPool API 操作创建用户池,则可将这些属性中的每个属性的 Mutable 参数设置为 true

    • 在应用程序的应用程序客户端设置中,映射的属性必须可写。您可以在 Amazon Cognito 控制台的 App clients (应用程序客户端) 页面中设置哪些属性为可写属性。或者,如果您使用 CreateUserPoolClient API 操作创建应用程序客户端,则可以将这些属性添加到 WriteAttributes 数组。

  • 如果身份提供商属性包含多个值,Amazon Cognito 将通过 URL 表单对包含非字母数字字符(不包括“.”、“-”、“*”和“_”字符)的值进行编码。您必须在应用程序中使用之前对这些值进行解码。

指定适用于用户池的身份提供商属性映射(Amazon Web Services Management Console)

您可以使用 Amazon Web Services Management Console指定用户池的身份提供商的属性映射。

注意

只有当陈述存在于传入令牌中时,Amazon Cognito 才会将传入陈述映射到用户池属性。如果之前映射的声明不再存在于传入令牌中,则不会被删除或更改。如果您的应用程序需要映射已删除的声明,则可以使用预身份验证 Lambda 触发器在身份验证期间删除自定义属性,并允许从传入令牌重新填充这些属性。

Original console

指定社交身份提供商属性映射

  1. 登录 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证

  2. 在导航窗格中,选择管理您的用户池,然后选择要编辑的用户池。

  3. 选择属性映射选项卡。

  4. 选择 FacebookGoogleAmazonApple 选项卡。

  5. 对于需要映射的每个属性,请完成以下步骤:

    1. 选中截取 复选框。

    2. 对于用户池属性,在下拉列表中,选择要映射到社交身份提供商属性的用户池属性。

    3. 如果您需要更多属性,请选择 Add Facebook attribute(添加 Facebook 属性)[或者 Add Google attribute(添加 Google 属性)、Add Amazon attribute(添加 Amazon 属性)或 Add Apple attribute(添加 Apple 属性)] 并完成以下步骤:

      1. Facebook attribute(Facebook 属性)、Google attribute(Google 属性)、Amazon attribute(Amazon 属性)或 Apple attribute(Apple 属性)字段中,输入要映射的属性的名称。

      2. User pool attribute(用户池属性)下拉列表中,选择要将社交身份提供商属性映射到的用户池属性。

    4. 选择保存更改

指定 SAML 提供商属性映射

  1. 登录 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 在导航窗格中,选择管理您的用户池,然后选择要编辑的用户池。

  3. 选择属性映射选项卡。

  4. 选择 SAML 选项卡。

  5. 选中要捕获其值的所有属性对应的截取框。如果您清除某个属性的截取框并保存您的更改,则将删除该属性的映射。

  6. 从下拉列表中选择身份提供商。

  7. 对于需要映射的每个属性,请完成以下步骤:

    1. 选择添加 SAML 属性

    2. SAML 属性字段中,输入要映射的 SAML 属性的名称。

    3. 用户池属性字段中,从下拉列表中选择要将 SAML 属性映射到的用户池属性。

  8. 选择保存更改

New console

指定社交身份提供商属性映射

  1. 登录 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 在导航窗格中,选择 User Pools(用户池),然后选择要编辑的用户池。

  3. 选择 Sign-in experience(登录体验)选项卡并找到 Federated sign-in(联合登录)。

  4. 选择 Add an identity provider(添加身份提供商),或者选择您已配置的身份提供商,如 FacebookGoogleAmazonApple。找到 Attribute mapping(属性映射),然后选择 Edit(编辑)。

    有关添加社交身份提供商的更多信息,请参阅向用户池添加社交身份提供商

  5. 对于需要映射的每个属性,请完成以下步骤:

    1. User pool attribute(用户池属性)列中选择属性。这是分配给您的用户池中用户配置文件的属性。自定义属性在标准属性之后列出。

    2. <provider> attribute(<provider> 属性)列中选择属性。这将是从提供商目录传递的属性。在下拉列表中提供来自社交服务提供商的已知属性。

    3. 要在 IdP 和 Amazon Cognito 之间映射其它属性,请选择 Add another attribute(添加其它属性)。

  6. 选择保存更改

指定 SAML 提供商属性映射

  1. 登录 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 在导航窗格中,选择 User Pools(用户池),然后选择要编辑的用户池。

  3. 选择 Sign-in experience(登录体验)选项卡并找到 Federated sign-in(联合登录)。

  4. 选择 Add an identity provider(添加身份提供商),或者选择您已配置的 SAML 身份提供商。找到 Attribute mapping(属性映射),然后选择 Edit(编辑)。有关添加 SAML 身份提供商的更多信息,请参阅向用户池添加 SAML 身份提供商

  5. 对于需要映射的每个属性,请完成以下步骤:

    1. User pool attribute(用户池属性)列中选择属性。这是分配给您的用户池中用户配置文件的属性。自定义属性在标准属性之后列出。

    2. SAML attribute(SAML 属性)列中选择属性。这将是从提供商目录传递的属性。

      您的身份提供商可能会提供示例 SAML 断言以供参考。一些身份提供商使用简单名称(如 email),另一些则使用类似于下面 URL 格式的属性名称:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    3. 要在 IDP 和 Amazon Cognito 之间映射其它属性,请选择 Add another attribute(添加其它属性)。

  6. 选择保存更改

指定适用于用户池的身份提供商属性映射(Amazon CLI 和 Amazon API)

使用以下命令可为您的用户池指定身份提供商属性映射。

在提供商创建时指定属性映射

  • Amazon CLI: aws cognito-idp create-identity-provider

    带元数据文件的示例:aws cognito-idp create-identity-provider --user-pool-id <user_pool_id> --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    其中 details.json 包含:

    { "MetadataFile": "<SAML metadata XML>" }
    注意

    如果 <SAML metadata XML> 包含任何引号 ("),则必须对其进行转义 (\")。

    带元数据 URL 的示例:aws cognito-idp create-identity-provider --user-pool-id <user_pool_id> --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=<metadata_url> --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • Amazon API:CreateIdentityProvider

指定现有身份提供商的属性映射

  • Amazon CLI: aws cognito-idp update-identity-provider

    示例:aws cognito-idp update-identity-provider --user-pool-id <user_pool_id> --provider-name <provider_name> --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • Amazon API:UpdateIdentityProvider

获取有关特定身份提供商的属性映射的信息

  • Amazon CLI: aws cognito-idp describe-identity-provider

    示例:aws cognito-idp describe-identity-provider --user-pool-id <user_pool_id> --provider-name <provider_name>

  • Amazon API:DescribeIdentityProvider