6

我一直在我的用户池上使用 SAML 身份联合,它有一个托管的登录页面。我配置了 Azure Active Directory 和 cognito 用户池,以便我可以使用 AD 用户登录。我以类似的方式添加了多个 SAML 提供程序,并且可以正常工作。当我使用Identifiers属性时出现问题,该属性用于通过从电子邮件中提取域名来登录到相应的 IDP。我遵循了这个文档。这就是它在 AWS 控制台中的外观。

在此处输入图像描述

现在,当我尝试使用 AD 用户电子邮件登录时,它给了我Login not allowed 错误。当我不使用此标识符可选参数时,它运行良好。

在此处输入图像描述

有人可以帮我解决这个问题吗?

4

1 回答 1

1

显然“标识符”参数与用户池“常规设置-> 策略”有一些联系。您需要选择“允许用户自己注册”选项才能使 IDP 标识符起作用。

在此处输入图像描述 虽然这在您启用注册选项时有效,但托管页面上会有一个注册链接。

就我而言,我不希望用户自己注册。然而,这是一些进步。

于 2018-05-10T15:59:57.593 回答