Как добавить пользовательские претензии 'groups' к id_token, выданному Cognito?

Question

Я хочу использовать пользовательское утверждение для открытого идентификатора connect id_token, чтобы указать группы, к которым принадлежит пользователь.

У меня это работает с Okta и Spring Security 5. С Okta был простой способнастроить пользовательское утверждение и связать его с группами пользователей.

Теперь я хочу сделать то же самое с Cognito.

Как использовать полномочия групп / ролей Spring Securities в сочетании с Cognito?

У меня есть открытый вход с id connect, работающий с Spring Security 5, Webflux и Cognito, но теперь я хочу добавить некоторую рольна основе группового членства. Крупные права.

Я добавил пользовательский атрибут в свой пул пользователей, но не вижу, как его заполнить.

спасибо

Answer 1

Я создал другой пул пользователей и подтверждаю, что добавление пользовательского атрибута в пул пользователей Cognito с именем 'groups', которое является изменяемым, привело к тому, что id_token, возвращенный из вызова области openid, имеет пользовательский cognito:groups утверждение, содержащее строки, представляющие группы, для которых выделен пользователь. Если пользователь не выделен ни в одну из групп, заявка не отображается в токене. Я подозреваю, что именно поэтому я полагал, что это не работало изначально. Я не смог найти какой-либо явной документации, в которой говорилось бы, что он так думает. Надеюсь, это кому-нибудь поможет, ура.