Отображение атрибутов SAML для Aws Cognito - регистрация или вход работает, но не оба

Question

Я настроил свою учетную запись GSuite в качестве iDP SAML для пулов пользователей Cognito (не пулов идентификации).

Если я не предоставляю сопоставления атрибутов, новый пользователь, пытающийся зарегистрироваться через вход в систему GSuite, получает следующую ошибку.

Ошибка при обработке ответа SAML: недопустимые атрибуты пользователя: электронная почта: требуется атрибут.

Однако, если я добавлю сопоставление электронной почты, пользователь может зарегистрироваться.Но не может войти снова, поскольку они получают эту ошибку (странно, поскольку электронная почта может быть записана этим клиентом приложения)

Ошибка при обработке ответа SAML: Неверные атрибуты пользователя: электронная почта: Атрибут не может быть обновлен.

Представления о том, что происходит?

В браузере, используя Hosted UI.

Answer 1

Оказывается, я сделал адрес электронной почты неизменным во время установки CloudFormation.Даже если электронное письмо не изменяется, оно должно быть изменяемым.

Вы можете определить изменчивость электронного письма с помощью следующей команды.

 aws --output table cognito-idp describe-user-pool --user-pool-id <user pool id>  | grep -B6 -A7 "  |  email  "