Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Der IdP-SAML-Assertion-Endpunkt
Der /saml2/idpresponse empfängt SAML-Assertionen. Bei der service-provider-initiated (SP-initiierten) Anmeldung interagiert Ihre Anwendung nicht direkt mit diesem Endpunkt — Ihr SAML 2.0-Identitätsanbieter (IdP) leitet Ihren Benutzer mit seiner SAML-Antwort hierher weiter. Für die SP-initiierte Anmeldung konfigurieren Sie Ihren IdP mit dem Pfad zu Ihrer saml2/idpresponse als Assertion Consumer Service (ACS) -URL. Weitere Informationen zur Sitzungsinitiierung finden Sie unter. Initiierung der SAML-Sitzung in Amazon-Cognito-Benutzerpools
Rufen Sie bei der IDP-initiierten Anmeldung Anfragen an diesen Endpunkt in Ihrer Anwendung auf, nachdem Sie sich bei Ihrem SAML 2.0-Anbieter als Benutzer angemeldet haben. Ihre Benutzer melden sich mit Ihrem IdP in ihrem Browser an, dann sammelt Ihre Anwendung die SAML-Assertion und sendet sie an diesen Endpunkt. Sie müssen SAML-Assertionen im Hauptteil einer Anfrage über HTTPS einreichen. HTTP
POST Der Hauptteil Ihrer POST Anfrage muss aus einem SAMLResponse Parameter und einem Relaystate Parameter bestehen. Weitere Informationen finden Sie unter Implementieren Sie die IDP-initiierte SAML-Anmeldung.
Der saml2/idpresponse Endpunkt kann SAML-Assertionen mit einer Länge von bis zu 100.000 Zeichen akzeptieren.
BEITRAG /saml2/idpresponse
Um den /saml2/idpresponse Endpunkt bei einer vom IDP initiierten Anmeldung zu verwenden, generieren Sie eine POST-Anforderung mit Parametern, die Ihrem Benutzerpool Informationen über die Sitzung Ihres Benutzers liefern.
-
Der App-Client, bei dem sie sich anmelden möchten.
-
Die Callback-URL, unter der sie landen möchten.
-
Die OAuth 2.0-Bereiche, die sie im Zugriffstoken Ihres Benutzers anfordern möchten.
-
Der IdP, der die Anmeldeanforderung initiiert hat.
Vom IDP initiierte Anfragetextparameter
- SAMLResponse
-
Eine Base64-kodierte SAML-Assertion von einem IdP, der einem gültigen App-Client und einer IdP-Konfiguration in Ihrem Benutzerpool zugeordnet ist.
- RelayState
-
Ein
RelayStateParameter enthält die Anforderungsparameter, die Sie andernfalls an den Endpunkt übergeben würden.oauth2/authorizeDetaillierte Informationen zu diesen Parametern finden Sie unter Autorisieren des Endpunkts.- response_type
-
Der OAuth Zuschusstyp 2.0.
- Client-ID
-
Die App-Client-ID).
- redirect_uri
-
Die URL, an die der Authentifizierungsserver den Browser nach der Autorisierung des Benutzers durch Amazon Cognito weiterleitet.
- Identitätsanbieter
-
Der Name des Identitätsanbieters, an den Sie Ihren Benutzer weiterleiten möchten.
- Idp-Identifier
-
Die Kennung des Identitätsanbieters, zu dem Sie Ihren Benutzer weiterleiten möchten.
- scope
-
Die OAuth 2.0-Bereiche, die Ihr Benutzer vom Autorisierungsserver anfordern soll.
Beispielanfragen mit positiven Antworten
Beispiel — POST-Anfrage
Die folgende Anfrage bezieht sich auf die Gewährung eines Autorisierungscodes für einen Benutzer von IdP MySAMLIdP im App-Client1example23456789. Der Benutzer leitet https://www.example.com mit seinem Autorisierungscode weiter, der gegen Token eingetauscht werden kann, die ein Zugriffstoken mit den Bereichen OAuth 2.0 enthalten openidemail, und. phone
POST /saml2/idpresponse HTTP/1.1 User-Agent:USER_AGENTAccept: */* Host:example.auth.us-east-1.amazoncognito.comContent-Type: application/x-www-form-urlencoded SAMLResponse=[Base64-encoded SAML assertion]&RelayState=identity_provider%3DMySAMLIdP%26client_id%3D1example23456789%26redirect_uri%3Dhttps%3A%2F%2Fwww.example.com%26response_type%3Dcode%26scope%3Demail%2Bopenid%2Bphone
Beispiel — Antwort
Das Folgende ist die Antwort auf die vorherige Anfrage.
HTTP/1.1 302 Found Date: Wed, 06 Dec 2023 00:15:29 GMT Content-Length: 0 x-amz-cognito-request-id: 8aba6eb5-fb54-4bc6-9368-c3878434f0fb Location:https://www.example.com?code=[Authorization code]
