本文为您介绍如何在IDaaS中配置AWS用户单点登录。
操作步骤
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索AWS SSO,单击添加应用。
确认应用名称,即可立即添加。
二、配置应用单点登录
添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。
输入AWS 配置信息(该信息在下文第三步中获取),并配置应用授权范围。
如果仅用于测试,建议授权范围选择全员可访问 ,以便跳过为IDaaS账号分配权限的步骤。
在应用配置信息中,复制IdP 唯一标识、IdP SSO 地址您将会在后续AWS的配置中使用到,下载证书,保存到电脑中,此文件用于建立AWS对IDaaS的信任关系。
由于AWS IAM需要邮箱字段匹配,请确保您所使用的IDaaS账号所绑定的邮箱与AWS中邮箱的属性值相同。
三、在AWS中配置用户 SSO
登录AWS 控制台。
在搜索栏中,输入IAM,选择IAM Identity Center。
在控制面板中,单击转到设置。
在设置页面中,选择身份源,单击。
将身份源修改为外部身份提供方,单击下一步。
将IdP 唯一标识、IdP SSO 地址填写到AWS应用配置中,在Idp证书单击选择文件,选择步骤二中在IDaaS下载的证书上传,单击下一步。
审核并确认更改身份源。
四、尝试SSO
您已经可以开始AWS SSO。有如下两种发起模式。
IDP发起
使用已拥有AWS SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,以联邦用户的身份登录至AWS。
SP 发起
在AWS IAM Identity Center中获取AWS 访问门户 URL。
使用匿名浏览器,AWS 访问门户 URL,如果您已登录IDaaS应用门户,则可以联邦用户的身份直接登录至AWS;您会被重定向到阿里云IDaaS登录界面,在此界面输入您的账密信息,单击登录,在IDaaS中完成登录后自动完成AWS的登录。
