在AWS Cognito中将Microsoft用作IDP

Question

我正在尝试使用AWS Cognito用户池中的Microsoft帐户实施社交登录。

我已遵循AWS的Cognito文档，以将用户池配置为允许OpenID Connect身份验证：https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-identity-provider.html#cognito-user-pools-oidc-providers

以及使用Microsoft作为身份提供者的文档：https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-protocols-oidc -如果我已经在Microsoft https://apps.dev.microsoft.com处注册了一个应用程序，并且想对@live帐户进行身份验证，则根据我的理解，必须使用V2终结点

因此，我已按照以下步骤操作：

• 在Microsoft https://apps.dev.microsoft.com/注册了一个应用，并且 使用redirectURL将Web平台添加到配置中： https://myapp.com/socialSignIn
• 在AWS Cognito中设置用户池并为其添加一个应用程序客户端
• 使用所需的Microsoft配置数据（来自Microsoft已注册应用程序的应用程序ID和私钥以及来自https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration的身份验证/令牌/ UserInfo / Jwks端点）为用户池配置OpenID Connect提供程序
• 在Cognito中将应用程序客户端配置为使用Microsoft作为身份提供者，并添加允许的OAuth流以进行代码授权并启用openId作为允许的OAuth范围，并添加一个回调URL：https://myapp.com/socialSignIn（与该URL相同的URL）为Microsoft应用配置）
• 为用户池配置Amazon Cognito域名，以便使用内置登录页面

因此，我正在尝试使用Amazon Cognito提供的登录页面（可通过以下网址访问https://sso-module.auth.eu-central-1.amazoncognito.com/login?response_type=code&client_id=19tsqvqibqpg617c5kplhqjuba&redirect_uri=https://myapp.com/socialLogin

）来测试社交登录流程

在选择使用配置的Microsoft IDP登录后，我被重定向到Microsoft登录页面，并在输入我的Microsoft Live帐户用户名后出现错误： 输入参数“ redirect_uri”提供的值无效。期望值为'https://login.live.com/oauth20_desktop.srf'或与为此客户端应用程序注册的重定向URI匹配的URL

此外，当我重定向到Microsoft登录页面时，我在URL中看到将redirect_url参数设置为Cognito登录页面，而不是我在Cognito中为应用程序客户端配置的URL

我错过了什么吗？应该怎么做才能完成这项工作？

Answer 1

我通过将https://login.microsoftonline.com/9188040d-6c67-4c5b-b112-36a304b66dad/v2.0设置为Cognito的Microsoft OIDC提供程序中的颁发者来修复它。

我还为此提供商配置了名称和电子邮件的属性映射。

在https://apps.dev.microsoft.com/#/application/ {您的应用程序ID}中配置的重定向URL必须为 https：// {您的Amazone Cognito域} / oauth2 / idpresponse

您需要在Cognito用户池的“应用集成”>“应用客户端”设置中启用提供程序