Cognito:要求联合AD组在访问令牌中返回
0
【以下的问题经过翻译处理】 一个客户正在将Cognito与Ping集成,以允许与Active Directory联合。由Cognito生成的访问令牌然后传递给Istio,以根据Istio策略向AWS后端Java应用程序提供基于RBAC的授权。这些策略基于AD组。在没有使用Cognito的Ping时,可以获取Ping响应中返回的AD组(memberOf)作为“组”,在Istio中授权用户,授权成功。使用Cognito时,AD组未出现,他们无法找到包含或注入自定义属性的方法。
是否有建议的方法,允许Cognito将AD组转发到访问令牌中?我的初步假设是,可能需要将映射到Cognito组或在Pre Token Generation Lambda Trigger中进行覆盖。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 截至目前,您无法向Cognito访问令牌添加自定义属性。您可能可以将AD组映射到Cognito组,但我不建议这样做,因为管理可能会过于复杂且存在潜在错误。另一种方法是查看客户是否可以使用id_token代替。您可以将AD属性映射到Cognito属性中,这些属性将包含在id_token中。
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前