本文为您介绍如何在 IDaaS 中配置 AWS 用户单点登录。
操作步骤
一、在 IDaaS 侧配置
创建 AWS 应用。
登录IDaaS管理控制台,选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索AWS SSO,单击添加应用。
确认应用名称后,即可立即添加。
配置应用单点登录。在页签,配置以下参数。
字段
描述
单点登录配置
设置为已启用状态。
AWS SSO Sign-in URL
填写 AWS IAM Identity Center 提供的AWS access portal 登录 URL。
AWS SSO ACS URL
填写 AWS IAM Identity Center 提供的IAM Identity Center 断言消费者服务(ACS)URL。
AWS SSO Issuer URL
填写 AWS IAM Identity Center 提供的IAM Identity Center 发布者 URL。
应用账户
根据实际需求选择,本文以优先应用账户,次选 IDaaS 账户名为例。
授权范围
根据实际需求选择手动授权或全员可访问。如果仅用于测试,建议授权范围选择全员可访问 ,以便跳过为IDaaS账号分配权限的步骤。
获取身份提供商信息。任选以下一种方式完成配置。
方法一:在应用配置信息栏下载IdP 元数据,用于配置 AWS 身份提供商的 IdP SAML 元数据 信息。
方法二:获取 IdP SSO 地址和IdP 唯一标识地址,用于配置AWS身份提供商的IdP 登录 URL 和 IdP 发布者 URL。
公钥证书。下载或复制证书,并导入或粘贴到 AWS 应用中。
分配用户访问权限。在应用账户下,单击添加应用账户。
重要此处创建的账户访问应用时所使身份名称必须与 AWS 平台配置的用户名称保持完全一致。
二、在 AWS 侧配置
登录AWS 平台。
在右上角我的账户单击管理控制台。
在搜索栏中,输入IAM,选择IAM Identity Center。
在控制面板中,单击转到设置。选择身份源,单击。
将身份源修改为外部身份提供方,单击下一步。
将服务提供商元数据AWS access portal 登录 URL、IAM Identity Center 断言消费者服务(ACS)URL、IAM Identity Center 发布者 URL 分别填入 IDaas 应用的AWS SSO Sign-in URL、AWS SSO ACS URL 和 AWS SSO Issuer URL。
将 IDaaS 应用的 IdP SSO 地址、IdP 唯一标识、分别填写到AWS 身份提供商的IdP 登录 URL、IdP 发布者 URL中,或者将 IDaaS 应用下载的IdP 元数据上传至 IdP SAML 元数据。在Idp证书单击选择文件,选择在 IDaaS 下载的公钥证书文件进行上传。配置完成后,单击下一步。
审核并确认更改身份源。
新建用户。在左侧菜单栏单击用户,点击添加用户按钮。按提示完成相关信息录入。
用户授权。
在左侧菜单选择,单击管理账户。
单击分配用户或组。
单击用户页签,输入需要授权的用户并勾选。单击下一步。
单击创建权限集,根据业务实际需求选择相关权限,本文以 AdministratorAccess 权限为例,选择完成后, 单击下一步。
进入审核并提交页面。确认用户和权限后,单击提交按钮,即可完成授权。
三、验证 SSO
IDP发起
使用已拥有AWS SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,以联邦用户的身份登录至AWS。.
SP 发起
在AWS IAM Identity Center中获取AWS 访问门户 URL。
使用匿名浏览器,AWS 访问门户 URL,如果您已登录IDaaS应用门户,则可以联邦用户的身份直接登录至AWS;您会被重定向到阿里云IDaaS登录界面,在此界面输入您的账密信息,单击登录,在IDaaS中完成登录后自动完成AWS的登录。
