以下是场景(通过AWS Amplify使用AWS Cognito):
我们的公司(ExampleCorp)正在构建一个web应用程序,其用户将通过自己的内部Active Directory(SSO)进行身份验证。
还有ExampleCorp的客户将使用web应用程序,但使用其活动目录(SSO)进行身份验证。然后,客户将为web应用程序创建自己的用户。
ExampleCorp希望在其AD内维护客户帐户的身份(可能是出于权限边界的目的)。
因此,从本质上讲,客户用户通过其AD对web应用程序进行身份验证,但在ExampleCorp的AD中也有一项检查,以确保用户帐户用户在正确的ExampleCorpAD组或其他组中。
这是";双重检查";在Cognito内部可能,或者正如我所解释的那样,这有意义吗?
如果外部用户已经在ExampleCorp的AD中,为什么要要求他们同时使用自己的IdP(身份提供商)和ExampleCorp.的AD进行身份验证?我建议仅通过ExampleCorp的AD进行身份验证。
或者,通过使用基于电子邮件的域部分的SAML联盟,您可以将这些外部用户重定向到他们自己的IdP。
--J