SAML在 Amazon Cognito 用户池中启动会话 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SAML在 Amazon Cognito 用户池中启动会话

Amazon Cognito 支持服务提供商启动(SP 启动)的单点登录 () 和 IDP 发起的单点登录。SSO SSO作为最佳安全实践,请在用户池SSO中实施 SP 启动方案。SAMLV2.0 技术概述的第 5.1.2 节描述了 SP 启动的。SSOAmazon Cognito 是您的应用程序的身份提供商 (IdP)。该应用程序是为经过身份验证的用户检索令牌的服务提供程序 (SP)。但是,当您使用第三方 IdP 对用户进行身份验证时,Amazon Cognito 就是 SP。当您的 SAML 2.0 用户使用 SP 启动的流程进行身份验证时,他们必须始终首先向 Amazon Cognito 提出请求,然后重定向到 IdP 进行身份验证。

对于某些企业使用案例,对内部应用程序的访问从企业 IdP 托管的控制面板上的书签开始。当用户选择书签时,IdP 会生成SAML响应并将其发送到 SP,以便通过应用程序对用户进行身份验证。

您可以在用户池中配置 SAML IdP 以支持 IdP 启动。SSO当您支持 IDP 发起的身份验证时,Amazon Cognito 无法验证它是否已请求收到SAML的响应,因为 Amazon Cognito 不会通过请求启动身份验证。SAML在 SP 启动中SSO,Amazon Cognito 会设置状态参数,以验证针对原始SAML请求的响应。使用 SP 发起的登录,您还可以防范跨站请求伪造 ()。CSRF

有关如何在不希望用户与用户池托管用户界面交互的环境SAML中构建 SP 启动的示例,请参阅。示例场景:在企业控制面板中为 Amazon Cognito 应用程序添加书签

主题