Amazon Cognito 引入了入站联合身份验证 Lambda 触发器

发布于: 2026年1月29日

Amazon Cognito 引入了入站联合身份验证 Lambda 触发器，使您能够在身份验证过程中转换和自定义联合用户属性。现在，您可以修改来自外部 SAML 和 OIDC 提供商的响应，然后再将其存储到用户池中，从而无需更改身份提供商配置即可完全通过编程方式控制联合身份验证流程。

入站联合身份验证 Lambda 触发器可解决联合身份验证工作流程中当前存在的限制，尤其是由属性大小限制和外部身份提供商对部分属性存储的需求引起的问题。例如，对于来自外部 SAML 或 OIDC 身份提供商的大型组属性，如果超过 Cognito 每个属性 2,048 个字符的限制，就可能会妨碍身份验证流程。此功能使您能够在通过 Cognito 创建新的联合用户或更新现有联合用户配置文件之前，添加、覆盖或禁止显示属性值，例如修改大型组属性。

新的入站联合身份验证 Lambda 触发器已在提供 Amazon Cognito 的所有 AWS 区域通过托管 UI（经典）和托管式登录体验推出。要开始使用，请通过 AWS 管理控制台、AWS 命令行界面（CLI）、AWS 软件开发工具包（SDK）、云开发工具包（CDK）或 AWS CloudFormation 配置该触发器，即将新参数添加到您的用户池 LambdaConfig。要了解更多信息，请参阅 Amazon Cognito 开发人员指南，查看实施示例和最佳实践。