本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IdP SAML 断言端点
/saml2/idpresponse
接收SAML断言。在 service-provider-initiated(SP 启动的)登录中,您的应用程序不会直接与该端点交互——您的 2.0 SAML 身份提供商 (IdP) 会将您的用户重定向到此处,并附上他们的响应。SAML对于 SP 发起的登录,请使用您的路径配置您的 IdP saml2/idpresponse
作为断言使用者服务 ()。ACS URL有关会话启动的更多信息,请参阅SAML在 Amazon Cognito 用户池中启动会话。
在 IDP 启动的登录中,在用户通过 2.0 提供商登录后,在应用程序中调用对该端点的请求。SAML您的用户在浏览器中使用您的 IdP 登录,然后您的应用程序收集SAML断言并将其提交到此端点。您必须在HTTP
POST
请求正文中提交SAML断言。HTTPSPOST
请求的正文必须是SAMLResponse
参数和Relaystate
参数。有关更多信息,请参阅 使用 IDP 发起的登录 SAML。
POST
/saml2/idpresponse
要在 IdP 发起的登录中使用/saml2/idpresponse
终端节点,请生成一个POST请求,其参数可为您的用户池提供有关您的用户会话的信息。
-
他们要登录的应用程序客户端。
-
他们URL最终想要的回调。
-
他们想要在用户的访问令牌中请求的 OAuth 2.0 范围。
-
发起登录请求的 IdP。
IDP 发起的请求正文参数
- SAMLResponse
-
来SAML自 IdP 的 Base64 编码断言,该断言与您的用户池中的有效应用程序客户端和 IdP 配置相关联。
- RelayState
-
RelayState
参数包含您原本要传递到oauth2/authorize
终端节点的请求参数。有关这些参数的详细信息,请参见对端点授权。- response_type
-
OAuth2.0 的拨款类型。
- client_id
-
应用程序客户端 ID。
- redirect_uri
-
URL在 Amazon Cognito 对用户进行授权后,身份验证服务器将浏览器重定向到何处。
- identity_provider
-
您要将用户重定向到的身份提供商的名称。
- idp_identifier
-
您要将用户重定向到的身份提供商的标识符。
- 范围
-
您希望用户向授权服务器请求的 OAuth 2.0 范围。
得到正面回复的请求示例
示例-POST 请求
以下请求是在应用程序客户端中向来自 IdP MySAMLIdP
的用户授予授权码。1example23456789
用户https://www.example.com
使用其授权码重定向到,该授权码可以兑换包含范围为 OAuth 2.0 和openid
email
phone
、的访问令牌的令牌。
POST /saml2/idpresponse HTTP/1.1 User-Agent:
USER_AGENT
Accept: */* Host:example.auth.us-east-1.amazoncognito.com
Content-Type: application/x-www-form-urlencoded SAMLResponse=[Base64-encoded SAML assertion]
&RelayState=identity_provider%3DMySAMLIdP
%26client_id%3D1example23456789
%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com
%26response_type%3Dcode
%26scope%3Demail%2Bopenid%2Bphone
示例-响应
以下是对先前请求的回应。
HTTP/1.1 302 Found Date: Wed, 06 Dec 2023 00:15:29 GMT Content-Length: 0 x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb Location:
https://www.example.com
?code=[Authorization code]