saml2/idpresponse 端点 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

saml2/idpresponse 端点

/saml2/idpresponse收 SAML 断言。在 service-provider-initiated (SP 发起的)登录中,您的 SAML 2.0 身份提供商 (IdP) 会使用其 SAML 响应将您的用户重定向到此端点。在 SP 启动的登录中,您的应用程序不会与该端点交互。使用您的路径配置您的 IdP saml2/idpresponse 作为断言使用者服务 (ACS) URL。有关会话启动的更多信息,请参阅SAML 会话在 Amazon Cognito 用户池中启动

在 IdP 发起的登录中,您的用户可以通过您自己的流程使用您的 IdP 登录,并通过 HTTPS 在请求正文中提交 SAML 断言。HTTP POSTPOST请求的正文必须是SAMLResponse参数和Relaystate参数。有关更多信息,请参阅使用 IDP 发起的 SAML SSO

帖子 /saml2/idpresponse

要在 IdP 发起的登录中使用/saml2/idpresponse终端节点,请生成一个 POST 请求,其参数可为您的用户池提供有关您的用户会话的信息。

  • 他们要登录的应用程序客户端。

  • 他们想要最终到达的回传网址。

  • 他们想要在用户的访问令牌中请求的 OAuth 2.0 范围。

  • 发起登录请求的 IdP。

IDP 发起的请求正文参数

样本响应

来自 IdP 的 Base64 编码的 SAML 断言,该断言与您的用户池中的有效应用程序客户端和 IdP 配置相关联。

RelayState

RelayState参数包含您原本要传递到oauth2/authorize终端节点的请求参数。有关这些参数的详细信息,请参见对端点授权

response_type

OAuth 2.0 授权类型。

client_id

应用程序客户端 ID。

redirect_uri

在 Amazon Cognito 授权用户之后,身份验证服务器将浏览器重定向到的 URL。

identity_provider

您要将用户重定向到的身份提供商的名称。

idp_identifier

您要将用户重定向到的身份提供商的标识符。

范围

您希望用户向授权服务器请求的 OAuth 2.0 范围。

回复为正面的请求示例

示例-POST 请求

以下请求是在应用程序客户端中向来自 IdP MySAMLIdP 的用户授予授权码。1example23456789用户使用其授权码重定向到https://www.example.com,该授权码可以兑换包含具有 OAuth 2.0 范围的访问令牌的令牌openidemail和。phone

POST /saml2/idpresponse HTTP/1.1 User-Agent: USER_AGENT Accept: */* Host: example.auth.us-east-1.amazoncognito.com Content-Type: application/x-www-form-urlencoded SAMLResponse=[Base64-encoded SAML assertion]&RelayState=identity_provider%3DMySAMLIdP%26client_id%3D1example23456789%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com%26response_type%3Dcode%26scope%3Demail%2Bopenid%2Bphone
示例-响应

以下是对先前请求的回应。

HTTP/1.1 302 Found Date: Wed, 06 Dec 2023 00:15:29 GMT Content-Length: 0 x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb Location: https://www.example.com?code=[Authorization code]