AWS SSO

本文为您介绍如何在IDaaS中配置AWS用户单点登录。

操作步骤

一、创建应用

  1. 登录IDaaS管理控制台

  2. 选择IDaaS实例并在操作区域下方单击访问控制台image

  3. 前往应用 > 添加应用 > 应用市场,搜索AWS SSO,单击添加应用image

  4. 确认应用名称,即可立即添加image

二、配置应用单点登录

  1. 添加应用后,将自动跳转到应用单点登录配置页,您将在此处进行配置。

image

  1. 输入AWS 配置信息(该信息在下文第三步中获取),并配置应用授权范围

image

如果仅用于测试,建议授权范围选择全员可访问 ,以便跳过为IDaaS账号分配权限的步骤。

  1. 应用配置信息中,复制IdP 唯一标识IdP SSO 地址您将会在后续AWS的配置中使用到下载证书,保存到电脑中,此文件用于建立AWSIDaaS的信任关系。

image

重要

由于AWS IAM需要邮箱字段匹配,请确保您所使用的IDaaS账号所绑定的邮箱与AWS中邮箱的属性值相同。

三、在AWS中配置用户 SSO

  1. 登录AWS 控制台

  2. 在搜索栏中,输入IAM,选择IAM Identity Center

  3. 在控制面板中,单击转到设置

image

  1. 在设置页面中,选择身份源,单击操作 > 更改身份源

image

  1. 将身份源修改为外部身份提供方,单击下一步

image

  1. IdP 唯一标识IdP SSO 地址填写到AWS应用配置中,在Idp证书单击选择文件,选择步骤二中在IDaaS下载的证书上传,单击下一步image

  2. 审核并确认更改身份源image

四、尝试SSO

您已经可以开始AWS SSO。有如下两种发起模式。

  1. IDP发起

使用已拥有AWS SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,以联邦用户的身份登录至AWS。

AWS _SSO_IDP发起

  1. SP 发起

AWS IAM Identity Center中获取AWS 访问门户 URLimage

使用匿名浏览器,AWS 访问门户 URL,如果您已登录IDaaS应用门户,则可以联邦用户的身份直接登录至AWS;您会被重定向到阿里云IDaaS登录界面,在此界面输入您的账密信息单击登录IDaaS中完成登录后自动完成AWS的登录。

AWS _SSO_SP发起