应用程序通过 Open ID Connect 协议与AWS Cognito 进行通信,AWS Cognito连接到ADFS,通过 SAML 进行通信。Cognito 本质上是“代理”ADFS 服务器。
ADFS 拥有应用程序所需的组映射,我想将这些组作为实际的 Cognito 组导入 Cognito - 然后应用程序将从cognito:groupsCognito 提供的 ID 令牌中读取该组。
在 AWS Cognito 用户池设置中,我没有看到将 ADFS 组映射到 Cognito 组的方法——我必须绝对依赖我的用户池的自定义属性,我可以映射到 ADFS 属性,还是我错过了一些允许 Cognito 动态创建新组并自动将用户分配到 Cognito 中的组的配置?
编辑:澄清一下,是否可以设置 Cognito 在导入用户时添加/创建组(不是作为自定义属性,而是实际可管理的认知组)?