Amazon cognito 如何通过SAML（gsuite）将角色arn传递给Cognito？

根据本文，应该可以让gsuite作为saml提供者通过属性传递角色arn到cognito设置

---

但它并没有具体说明怎么做？我添加了属性

https://docs.aws.amazon.com/cognito/latest/developerguide/saml-identity-provider.html#role-gsuite上的自定义saml

，但显然这一点不起作用。

要么属性格式不正确，要么属性未在Cognito注册。我已经更新了我的答案，在Quick Response for中添加了两个新的潜在问题根源，即，（2）属性不符合Cognito要求的格式（提供了一个示例）。（3） 属性值没有通过AmazonAWS的管理控制台在Cognito上注册。（请参阅（II）有关角色的重要说明）。我不想通过SAML登录AWS，因为SAML可以轻松地通过gsuite工作（包括通过角色）。我想通过SAML（gsuite）登录到cognito（同时承担我从gsuite属性提供的角色）到awslasticsearch。这似乎与您描述的工作方式不同。我已更新了（II）中的答案，以提供使用Google G Suite配置Amazon AWS的官方链接，以描述SAML IdP配置步骤（通过AWS管理控制台执行）。声明在配置标识池以支持SAML提供程序之前，必须首先在IAM控制台中配置SAML标识提供程序。有关更多信息，非常感谢@winstonhong的努力，但我认为您仍在混淆问题，我不想让gsuite（saml）+arn passthrough与aws控制台（例如IAM federation）一起工作-这已经在为我们工作。我试图让gsuite（saml）+arn passthrough与cognito和aws服务（elasticsearch）一起工作。我更新了答案，添加了快速响应的备注，即描述了如何利用aws SSO访问Kibana（Amazon elasticsearch服务，aws内部服务）。