我有一个AWS Cognito用户池,并且能够通过ADFS联合到该用户池中。在ADFS服务器上,有许多定义用户权限的组。我正在尝试将组成员身份从ADFS转换为AWS,以便可以使用Cognito实施相同的权限。
我尝试执行此操作的方法是自定义声明规则,如果用户属于某个组,该规则将返回“ true”:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value == "The-Group-SID",
Issuer =~ "^AD AUTHORITY$"]
=> issue(Type = "Dev", Value = "true");
这有效,并且当指定组的成员登录时,SAML响应带有名称为“ Dev”和值为“ true”的属性
Saml响应
<Attribute Name="Dev">
<AttributeValue>True</AttributeValue>
</Attribute>
接下来,我进入AWS控制台,尝试将此属性映射到cognito属性:
Saml提供程序:ADFS
捕获:已选中; Saml属性:Dev;用户池属性:custom:isin-ADFS-Dev;
但是,此ADFS属性未映射到我的自定义Cognito属性,因为该属性未在Cognito用户池中显示为用户的属性。有谁知道为什么我无法正确映射属性?谢谢!