本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SAML登出流程
Amazon Cognito 支持 SAML 2.0 單次註銷SingleLogoutService
URL中判斷重新導向位置。Amazon Cognito 使用您的使用者集區簽署憑證來簽署登出請求。
當您將具有SAML工作階段的使用者導向至您的使用者集區/logout
端點時,Amazon Cognito 會使用下列請求將您的SAML使用者重新導向至 IdP 中繼資料中指定的SLO端點。
https://
[SingleLogoutService endpoint]
? SAMLRequest=[encoded SAML request]
& RelayState=[RelayState]
& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature=[User pool RSA signature]
然後,您的用戶使用其 IdP LogoutResponse
中的 a 返回到您的saml2/logout
端點。您的 IdP 必須傳LogoutResponse
送HTTP POST
請求。然後,Amazon Cognito 會從其初始登出請求將其重新導向至重新導向目的地。
您的SAML提供商可能會發送一個LogoutResponse
以上AuthnStatement
的郵件。此類型回應AuthnStatement
中的第一個必須符合最初驗證使用者的SAML回應sessionIndex
中的。sessionIndex
如果在任何其他sessionIndex
位置AuthnStatement
,Amazon Cognito 將無法識別工作階段,而且您的使用者將不會被登出。