У меня есть пул пользователей Cognito, который поддерживает пользователей Cognito, Facebook и Google, а также провайдера SAML. Я ожидаю, что в будущем мы добавим больше провайдеров SAML.
У меня также есть веб-приложение, использующее Amplify для аутентификации. Пользователи Cognito входят в систему через интерфейс приложения, а пользователи Google и Facebook отправляются на эти сайты через Auth.federatedSignIn. Пользователи SAML отправляются в домен Cognito и затем перенаправляются на любой URL-адрес, который использует сторонний поставщик. (Соответствующий idp_identifier получен из адреса электронной почты пользователя.)
Проблема заключается в том, что если пользователь пытается войти через SAML, но у него нет действительной учетной записи для этого, так что егоПроизводный idp_identifier не соответствует существующему, тогда они увидят Cognito UI. Вместо этого я хотел бы, чтобы аутентификация не прошла. По сути, домен Cognito должен функционировать только для пользователей с известным idp_identifier, и никто никогда не сможет видеть пользовательский интерфейс Cognito.
Может ли это быть сделано или аутентификация должна быть настроена иначе