AWS Cognito代币一代OIDC的定制范围

Question

我们正在使用Cognito进行身份验证和会话管理。我们添加了一台外部IDP服务器，该服务器将OAuth用作OIDC身份提供商。对于代币生成，IDP具有不同的范围，可以访问我们服务器所需的各种资源。但是，当使用Cognito作为身份验证机制时，我们无法在Get token呼叫中提供这些范围。有什么办法可以：

1. 通过Cognito将特定的范围添加到get token呼叫中的特定范围？
2. 如果是的，是否有一种方法可以将访问令牌输入我们的服务器中，以稍后拨打该身份提供商，如果我们想获取有关用户的信息
3. ，是否可以跳过访问令牌呼叫并获取授权代码，以便访问令牌可以通过我们的服务器中的自定义代码检索？
4. 在获得令牌时执行所有操作时，有没有办法向用户显示同意弹出窗口？

Answer 1

AWS Cognito无法做到这一点。为此，我们使用IDP构建了自己的SSO工作流程，然后将自定义处理程序添加到Cognito中。