我有一个支持Cognito，Facebook和Google用户的Cognito用户池，以及一个SAML提供程序。我希望将来我们会添加更多的SAML提供程序。

我也有一个使用Amplify进行身份验证的Web应用程序。 Cognito用户通过应用程序界面登录，而Google和Facebook用户通过Auth.federatedSignIn发送到这些站点。将SAML用户发送到Cognito域，然后将其重定向到第三方提供商使用的任何URL。 （适当的idp_identifier来自用户的电子邮件地址。）

问题是，如果用户尝试通过SAML登录，但他们没有有效的帐户，则其派生的idp_identifier与现有帐户不匹配，那么他们将看到Cognito用户界面。相反，我希望身份验证失败。基本上，Cognito域应仅对拥有已知idp_identifier的用户起作用，并且任何人都不能看到Cognito UI。

可以做到这一点，还是必须以其他方式设置身份验证？