我已将我的 GSuite 帐户设置为 Cognito 用户池(不是身份池)的 SAML iDP。
如果我未提供属性映射,则尝试通过 GSuite 登录进行注册的新用户会收到以下错误。
Error in SAML response processing: Invalid user attributes: email: Attribute is required.
但是,如果我添加电子邮件映射,则用户可以注册。但是因为收到此错误而无法再次登录(奇怪,因为此应用程序客户端可以写入电子邮件)
Error in SAML response processing: Invalid user attributes: email: Attribute cannot be updated.
关于发生了什么的想法?
在浏览器中,使用托管 UI。
最佳答案
事实证明,我在 CloudFormation 设置期间使电子邮件地址不可变。即使电子邮件没有被修改,它也需要是可变的。
您可以通过以下命令确定电子邮件的可变性。
aws --output table cognito-idp describe-user-pool --user-pool-id <user pool id> | grep -B6 -A7 " | email "
关于saml-2.0 - Aws Cognito 的 SAML 属性映射 - 注册或登录有效,但不能同时有效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50365699/