本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过单点注销注销SAML用户
亚马逊 Cognito 支持 SAML 2.0 单点注销
当您将 SAML IdP 配置为支持注SAML销流程时,Amazon Cognito 会将带有签名注销请求的用户重定向到您的 IdP。Amazon Cognito 根据您的 IdP 元数据SingleLogoutService
URL中的来确定重定向位置。Amazon Cognito 使用您的用户池签名证书签署退出请求。
当您将具有SAML会话的用户定向到您的用户池/logout
终端节点时,Amazon Cognito 会通过以下请求将您的SAML用户重定向到 IdP 元数据中指定的SLO终端节点。
https://
[SingleLogoutService endpoint]
? SAMLRequest=[encoded SAML request]
& RelayState=[RelayState]
& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature=[User pool RSA signature]
然后,您的用户使用他们的 IdP 返回LogoutResponse
到您的saml2/logout
终端节点。您的 IdP 必须发送LogoutResponse
请求。HTTP POST
然后,Amazon Cognito 会将他们从最初的退出请求重定向到重定向目的地。
您的SAML提供商可能会发送LogoutResponse
包含多个AuthnStatement
内容的。此类响应sessionIndex
AuthnStatement
中的第一个必须与最初对用户进行身份验证的SAML响应sessionIndex
中的相匹配。如果sessionIndex
是其他会话AuthnStatement
,Amazon Cognito 将无法识别该会话,您的用户也不会被注销。