一个应用程序正在通过 Open ID Connect 协议(protocol)与 进行通信AWS 认知 , 连接到 ADFS ,通过 SAML 进行通信。 Cognito 本质上是“代理”ADFS 服务器。
ADFS 持有 组映射应用程序需要,我想将这些组作为实际的 Cognito 组导入 Cognito - 然后应用程序将从 cognito:groups 读取这些组来自 Cognito 提供的 ID token 。
在 AWS Cognito 用户池设置中,我看不到将 ADFS 组映射到 Cognito 组的方法 - 我必须绝对依赖我可以映射到 ADFS 属性的用户池的自定义属性,还是我错过了一些允许 Cognito 动态创建新组并自动将用户分配到 Cognito 中的组的配置?
编辑:澄清,导入用户时是否可以设置 Cognito 以添加/创建组(不是作为自定义属性,而是实际可管理的 cognito 组)?
最佳答案
我有同样的问题,我也没有在 Cognito 中找到静态映射选项。
我看到的唯一方法是将 AD 组映射到 Cognito 中的 custom:adgroups 属性,并设置 Cognito“预 token 生成”lambda 触发器。 lambda 读取 custom:adgroups 的值并手动覆盖用户的 Cognito 组。
注意 - 这不会永久更改 cognito 用户组,仅针对当前 session ,但从应用程序的角度来看,这正是我所需要的。
请在此处查看虚拟静态(非条件)ADMIN 组分配示例:
def lambda_handler(event, context):
print(f'incoming event: {json.dumps(event)}')
# manual cognito group override
if event['triggerSource'] == "TokenGeneration_HostedAuth":
event['response'] = {
"claimsOverrideDetails": {
"groupOverrideDetails": {
"groupsToOverride": [
"ADMIN"
]
}
}
}
return event
更详细的文档在这里:https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-token-generation.html
关于amazon-cognito - AWS Cognito - 从 ADFS 创建组作为 Cognito 组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55240196/