本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
saml2/idpresponse 端点
接/saml2/idpresponse
收 SAML 断言。在 service-provider-initiated (SP 发起的)登录中,您的 SAML 2.0 身份提供商 (IdP) 会使用其 SAML 响应将您的用户重定向到此端点。在 SP 启动的登录中,您的应用程序不会与该端点交互。使用您的路径配置您的 IdP saml2/idpresponse
作为断言使用者服务 (ACS) URL。有关会话启动的更多信息,请参阅SAML 会话在 Amazon Cognito 用户池中启动。
在 IdP 发起的登录中,您的用户可以通过您自己的流程使用您的 IdP 登录,并通过 HTTPS 在请求正文中提交 SAML 断言。HTTP POST
POST
请求的正文必须是SAMLResponse
参数和Relaystate
参数。有关更多信息,请参阅 使用 IDP 发起的 SAML 登录。
帖子 /saml2/idpresponse
要在 IdP 发起的登录中使用/saml2/idpresponse
终端节点,请生成一个 POST 请求,其参数可为您的用户池提供有关您的用户会话的信息。
-
他们要登录的应用程序客户端。
-
他们想要最终到达的回传网址。
-
他们想要在用户的访问令牌中请求的 OAuth 2.0 范围。
-
发起登录请求的 IdP。
IDP 发起的请求正文参数
- 样本响应
-
来自 IdP 的 Base64 编码的 SAML 断言,该断言与您的用户池中的有效应用程序客户端和 IdP 配置相关联。
- RelayState
-
RelayState
参数包含您原本要传递到oauth2/authorize
终端节点的请求参数。有关这些参数的详细信息,请参见对端点授权。- response_type
-
OAuth 2.0 授权类型。
- client_id
-
应用程序客户端 ID。
- redirect_uri
-
在 Amazon Cognito 授权用户之后,身份验证服务器将浏览器重定向到的 URL。
- identity_provider
-
您要将用户重定向到的身份提供商的名称。
- idp_identifier
-
您要将用户重定向到的身份提供商的标识符。
- 范围
-
您希望用户向授权服务器请求的 OAuth 2.0 范围。
回复为正面的请求示例
示例-POST 请求
以下请求是在应用程序客户端中向来自 IdP MySAMLIdP
的用户授予授权码。1example23456789
用户使用其授权码重定向到https://www.example.com
,该授权码可以兑换包含具有 OAuth 2.0 范围的访问令牌的令牌openid
、email
和。phone
POST /saml2/idpresponse HTTP/1.1 User-Agent:
USER_AGENT
Accept: */* Host:example.auth.us-east-1.amazoncognito.com
Content-Type: application/x-www-form-urlencoded SAMLResponse=[Base64-encoded SAML assertion]
&RelayState=identity_provider%3DMySAMLIdP
%26client_id%3D1example23456789
%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com
%26response_type%3Dcode
%26scope%3Demail%2Bopenid%2Bphone
示例-响应
以下是对先前请求的回应。
HTTP/1.1 302 Found Date: Wed, 06 Dec 2023 00:15:29 GMT Content-Length: 0 x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb Location:
https://www.example.com
?code=[Authorization code]