Amazon Cognito führt Lambda-Trigger für eingehende Verbundauthentifizierung ein
Amazon Cognito führt Lambda-Trigger für die eingehende Verbundauthentifizierung ein, mit denen Sie Verbundbenutzerattribute während des Authentifizierungsprozesses transformieren und anpassen können. Sie können nun Antworten von externen SAML- und OIDC-Anbietern ändern, bevor diese in Ihrem Benutzerpool gespeichert werden. Dadurch können Sie den Federation Flow vollständig programmatisch kontrollieren, ohne die Konfiguration Ihres Identitätsanbieters ändern zu müssen.
Der Lambda-Trigger für die eingehende Verbundauthentifizierung behebt aktuelle Einschränkungen in föderierten Authentifizierungs-Workflows, insbesondere Probleme, die durch Beschränkungen der Attributgröße und die Notwendigkeit einer selektiven Attributspeicherung von externen Identitätsanbietern verursacht werden. Beispielsweise können große Gruppenattribute von externen SAML- oder OIDC-Identitätsanbietern, die die von Cognito festgelegte Zeichenbegrenzung von 2 048 Zeichen pro Attribut überschreiten, den Authentifizierungsablauf blockieren. Mit dieser Funktion können Sie Attributwerte hinzufügen, überschreiben oder unterdrücken, z. B. große Gruppenattribute ändern, bevor Sie neue Verbundbenutzer erstellen oder vorhandene Verbundbenutzerprofile in Cognito aktualisieren.
Der neue Lambda-Trigger für die eingehende Verbundauthentifizierung steht über die gehostete Benutzeroberfläche (klassisch) und die verwaltete Anmeldung in allen AWS-Regionen zur Verfügung, in denen Amazon Cognito verfügbar ist. Konfigurieren Sie zunächst den Trigger mithilfe der AWS-Managementkonsole, der AWS-Befehlszeilenschnittstelle (CLI), der AWS Software Development Kits (SDKs), des Cloud Development Kit (CDK) oder AWS CloudFormation, indem Sie den neuen Parameter zu Ihrem Benutzerpool LambdaConfig hinzufügen. Weitere Informationen finden Sie im Entwicklerleitfaden zu Amazon Cognito mit Implementierungsbeispielen und bewährten Methoden.