У меня есть пул пользователей AWS Cognito и возможность объединения в этот пул пользователей с помощью ADFS. На сервере ADFS есть несколько групп, которые определяют права пользователей. Я пытаюсь перевести членство в группе из ADFS в AWS, чтобы те же разрешения можно было применить с помощью Cognito.
Я попытался сделать это с помощью пользовательского правила утверждений, которое возвращает «true», если пользователь входит в определенную группу:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value == "The-Group-SID",
Issuer =~ "^AD AUTHORITY$"]
=> issue(Type = "Dev", Value = "true");
Это работает, и когда член указанной группы входит в систему, ответ SAML содержит атрибут с именем «Dev» и значением «true»
Ответ Saml
<Attribute Name="Dev">
<AttributeValue>True</AttributeValue>
</Attribute>
Далее я захожу в консоль AWS и пытаюсь сопоставить этот атрибут с атрибутом Cognito:
Поставщик Saml: ADFS
Захват: проверено; Самл Атрибут: Dev; Атрибут пула пользователей: custom: isin-ADFS-Dev;
Однако этот атрибут ADFS не сопоставлен с моим настраиваемым атрибутом Cognito, поскольку он не отображается в Cognito User Pool как атрибут пользователя. Кто-нибудь знает, почему я не могу правильно сопоставить атрибуты? Спасибо!