我正在尝试将 Cognito 用户池与第三方 SAML 身份提供商(例如 Azure)以及社交身份提供商(例如 google 或 facebook)集成。但是,我想区分同一用户(使用同一电子邮件)通过社交签名或 SAML 第三方身份提供商登录的时间。出于安全原因,我希望只有使用第三方身份提供商签名的用户才能访问企业帐户。
有办法做到这一点吗?
Cognito 为各种事件提供 Lambda 触发器。您可以参考this来了解更多关于它们的信息。
对于您的用例,身份验证后 Lambda 触发器看起来很合适,您可以在其中实现自定义代码来确定用户是否来自第三方身份提供商。如果是这样,您可以在令牌中包含自定义声明。稍后,您可以在代码中利用此自定义声明的值来检测用户是否使用第三方登录。