本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Cognito 支持 SAML 2.0 单点注销
当您将 SAML IdP 配置为支持注销流程时,Amazon Cognito 会通过已签名的 SAML 注销请求将您的用户重定向到您的 IdP。Amazon Cognito 根据您的 IdP 元数据中的 SingleLogoutService URL 确定重定向位置。Amazon Cognito 使用您的用户池签名证书签署注销请求。
当您将具有 SAML 会话的用户定向到您的用户池 /logout 端点时,Amazon Cognito 会将您的 SAML 用户通过以下请求重定向到 IdP 元数据中指定的 SLO 端点。
https://[SingleLogoutService endpoint]? SAMLRequest=[encoded SAML request]& RelayState=[RelayState]& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature=[User pool RSA signature]
然后,您的用户使用来自其 IdP 的 LogoutResponse 返回到您的 saml2/logout 端点。您的 IdP 必须在 HTTP POST 请求中发送 LogoutResponse。然后,Amazon Cognito 会根据他们最初的注销请求将他们重定向到重定向目的地。
您的 SAML 提供者可能会发送包含多个 AuthnStatement 的 LogoutResponse。此类响应中第一个 AuthnStatement 中的 sessionIndex 必须与最初对用户进行身份验证的 SAML 响应中的 sessionIndex 匹配。如果 sessionIndex 在任何其他 AuthnStatement 中,则 Amazon Cognito 将无法识别会话,且您的用户不会注销。
