AWS SSO

本文为您介绍如何在 IDaaS 中配置 AWS 用户单点登录。

操作步骤

一、在 IDaaS 侧配置

  1. 创建 AWS 应用。

    1. 登录IDaaS管理控制台,选择IDaaS实例并在操作区域下方单击访问控制台image

    2. 前往应用 > 添加应用 > 应用市场,搜索AWS SSO,单击添加应用image

    3. 确认应用名称后,即可立即添加

  2. 配置应用单点登录。在登录访问 > 单点登录页签,配置以下参数。

    字段

    描述

    单点登录配置

    设置为已启用状态。

    AWS SSO Sign-in URL

    填写 AWS IAM Identity Center 提供的AWS access portal 登录 URL

    AWS SSO ACS URL

    填写 AWS IAM Identity Center 提供的IAM Identity Center 断言消费者服务(ACS)URL

    AWS SSO Issuer URL

    填写 AWS IAM Identity Center 提供的IAM Identity Center 发布者 URLimage

    应用账户

    根据实际需求选择,本文以优先应用账户,次选 IDaaS 账户名为例。

    授权范围

    根据实际需求选择手动授权全员可访问。如果仅用于测试,建议授权范围选择全员可访问 ,以便跳过为IDaaS账号分配权限的步骤。

  3. 获取身份提供商信息。任选以下一种方式完成配置

    1. 方法一:在应用配置信息栏下载IdP 元数据,用于配置 AWS 身份提供商的 IdP SAML 元数据 信息。image

    2. 方法二:获取 IdP SSO 地址IdP 唯一标识地址用于配置AWS身份提供商的IdP 登录 URLIdP 发布者 URL

      image

  4. 公钥证书。下载或复制证书,并导入或粘贴到 AWS 应用中。

  5. 分配用户访问权限。应用账户下,单击添加应用账户

    image

    重要

    此处创建的账户访问应用时所使身份名称必须与 AWS 平台配置的用户名称保持完全一致。

二、在 AWS 侧配置

  1. 登录AWS 平台

  2. 在右上角我的账户单击管理控制台image

  3. 在搜索栏中,输入IAM,选择IAM Identity Center

  4. 在控制面板中,单击转到设置。选择身份源,单击操作 > 更改身份源

    image

  5. 将身份源修改为外部身份提供方,单击下一步

    image

  6. 将服务提供商元数据AWS access portal 登录 URLIAM Identity Center 断言消费者服务(ACS)URLIAM Identity Center 发布者 URL 分别填入 IDaas 应用的AWS SSO Sign-in URLAWS SSO ACS URL AWS SSO Issuer URLimage

  7. 将 IDaaS 应用的 IdP SSO 地址IdP 唯一标识分别填写到AWS 身份提供商的IdP 登录 URLIdP 发布者 URL中,或者将 IDaaS 应用下载的IdP 元数据上传至 IdP SAML 元数据。在Idp证书单击选择文件,选择在 IDaaS 下载的公钥证书文件进行上传。配置完成后,单击下一步image

  8. 审核并确认更改身份源image

  9. 新建用户。在左侧菜单栏单击用户,点击添加用户按钮。按提示完成相关信息录入。

    image

  10. 用户授权。

    1. 在左侧菜单选择多账户权限 > AWS 账户,单击管理账户。image

    2. 单击分配用户或组image

    3. 单击用户页签,输入需要授权的用户并勾选。单击下一步。image

    4. 单击创建权限集,根据业务实际需求选择相关权限,本文以 AdministratorAccess 权限为例,选择完成后, 单击下一步。image

    5. 进入审核并提交页面。确认用户和权限后,单击提交按钮,即可完成授权。image

三、验证 SSO

  1. IDP发起

    使用已拥有AWS SSO应用权限的IDaaS账户,登录到IDaaS应用门户页,单击页面上的图标,即可发起单点登录,以联邦用户的身份登录至AWS。.

    AWS _SSO_IDP发起

  2. SP 发起

    AWS IAM Identity Center中获取AWS 访问门户 URLimage

    使用匿名浏览器,AWS 访问门户 URL,如果您已登录IDaaS应用门户,则可以联邦用户的身份直接登录至AWS;您会被重定向到阿里云IDaaS登录界面,在此界面输入您的账密信息单击登录IDaaS中完成登录后自动完成AWS的登录。

    AWS _SSO_SP发起