Cognito:要求联合AD组在访问令牌中返回

0

【以下的问题经过翻译处理】 一个客户正在将Cognito与Ping集成,以允许与Active Directory联合。由Cognito生成的访问令牌然后传递给Istio,以根据Istio策略向AWS后端Java应用程序提供基于RBAC的授权。这些策略基于AD组。在没有使用Cognito的Ping时,可以获取Ping响应中返回的AD组(memberOf)作为“组”,在Istio中授权用户,授权成功。使用Cognito时,AD组未出现,他们无法找到包含或注入自定义属性的方法。

是否有建议的方法,允许Cognito将AD组转发到访问令牌中?我的初步假设是,可能需要将映射到Cognito组或在Pre Token Generation Lambda Trigger中进行覆盖。

profile picture
专家
已提问 6 个月前18 查看次数
1 回答
0

【以下的回答经过翻译处理】 截至目前,您无法向Cognito访问令牌添加自定义属性。您可能可以将AD组映射到Cognito组,但我不建议这样做,因为管理可能会过于复杂且存在潜在错误。另一种方法是查看客户是否可以使用id_token代替。您可以将AD属性映射到Cognito属性中,这些属性将包含在id_token中。

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则