将来自 SAML 身份验证的令牌响应与用户池一起使用来检索 AWS 临时访问密钥

Question

如何使用用户池的 SAML 身份验证的令牌响应来检索 AWS 临时访问密钥并进行 API 网关调用？

我已经使用关联的应用程序客户端配置了 Cognito 用户池。我已将 Okta 配置为第 3 方 SAML 身份提供商。使用亚马逊托管登录 https://[cognito domain name]/login?response_type=token&client_id=[your App client id]&redirect_uri=[your App client redirect URL] 我可以使用 header.

中的 #access_token 重定向到我的 ReactJS 应用程序

我正在尝试使用 #access_token 来调用 API 网关。我一直在关注这个 guide 以及 aws-amplify。据我了解，我需要使用 #access_token 获取 AWS 访问密钥以调用 API 网关。

我正在尝试使用以下代码执行此操作：

AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'us-east-1:xxxxxxx-xxxx-xxxx-xxxx-xxxxxx',
   Logins: {
      'cognito-idp.us-east-1.amazonaws.com/us-east-1_xxxxxx': #access_token
   }
});

但不确定它如何与 aws-amplify 集成，我还没有成功检索到 AWS 临时访问密钥来进行 API 网关调用。

我之前使用 Cognito 用户池中的用户进行过这项工作，但现在我需要将 Okta 作为身份提供者。

Answer 1

我发现我需要 #id_token 而不是 #access_token 来完成我想做的事情。我通过在我的 Cognito Pool 应用程序客户端设置中选择以下选项启用了 #id_token：

然后我可以关注。

将来自 SAML 身份验证的令牌响应与用户池一起使用来检索 AWS 临时访问密钥

Use the token response from SAML authentication with User Pools to retrieve AWS Temporary Access keys

amazon-web-services

amazon-cognito

aws-api-gateway

aws-amplify

aws-userpools