本文檔介紹如何通過阿里雲 IDaaS 平台與 AWS 配置 SAML 2.0 識別身分同盟,實現基於 AWS 角色的 SSO 單點登入。通過本文檔,您將完成從 IDaaS 側應用配置到 AWS 側身份提供者建立的全流程操作。
操作步驟
一、在 IDaaS 側配置
登入IDaaS管理主控台,在左側導覽列中,選擇 EIAM 雲身份服務 。選擇對應的 IDaaS 執行個體,單擊操作列的存取控制台。
單擊,在應用市場頁簽搜尋 AWS角色 SSO 應用,按頁面提示添加应用。
重要AWS角色 SSO:為國際站版本,需要使用國際站 AWS 帳號登入。
AWS角色 SSO(中國站):需要使用中國站 AWS 帳號登入。
在頁簽,配置以下參數。
欄位
描述
单点登录配置
設定為已启用狀態。
AWS 賬戶 ID
填寫目標AWS 賬戶 ID。
身份提供者名稱
填寫在 AWS-IAM 中建立的身份提供者名稱。
重要此處配置的身份提供者名稱必須與AWS平台建立的身份提供者名稱保持完全一致。
應用賬戶
預設為應用賬戶。
預設跳轉地址
IdP 發起 SSO 登入成功後,應用應自動跳轉的地址。
授权范围
選擇全員可訪問,若選擇手動授權,需要在應用授權頁簽中進行許可權分配。
IdP 元数据
下載此設定檔,用於 AWS 的身分識別驗證和授權。
在頁簽,單擊添加应用账户,在輸入框搜尋需要單點登入的賬戶名,輸入角色名稱後保存。
重要此處建立的角色名稱必須與 AWS 平台配置的角色名稱保持完全一致,方可發起單點登入。
二、在 AWS 側配置
登入AWS 控制台。在左上方搜尋欄中,輸入IAM,選擇IAM。
建立身份提供者
在左側功能表列單選擇,單擊右上方添加提供者。
在添加身份提供者頁面,配置以下參數。
提供者類型:選擇 SAML 類型。
提供者名稱:輸入一個有意義的名稱來標識此提供者,最長 128個字元。請使用字母數字或“._-”字元。
重要此名稱需要和 IDaaS 中AWS角色 SSO(中國站)應用的身份提供者名稱相同。
中繼資料文檔:單擊選擇檔案,上傳 IDaas 中AWS角色 SSO(中國站)應用的 IdP 中繼資料檔案。
配置完成後,單擊右下角添加提供者。
建立角色
在左側功能表列單選擇,單擊右上方建立角色。
在選擇可信實體頁面,配置以下參數。
可信實體類型:選擇SAML 2.0 聯合,允許從公司目錄通過 SAML 2.0 聯合的使用者在此賬戶中執行操作。
SAML 2.0 聯合:在基於 SAML 2.0 的提供者處,選擇上一步建立的身份提供者。選擇完成後,單擊下一步。
為角色添加許可權。根據實際業務需求勾選相關許可權,本文以AdministratorAccess許可權為例,勾選此許可權後,單擊下一步。
建立角色名稱。在命名、查看和建立頁面。
角色名稱:輸入一個有意義的名稱來標識此角色。最長 64 個字元。請使用字母數字和 '+=,.@-_' 字元。
重要此名稱需要和 IDaaS 中AWS角色 SSO(中國站)應用的賬戶角色名稱相同。
描述:為此角色添加一個簡短說明。最多 1000 個字元。使用字母(A-Z 和 a-z)、數字(0-9)、定位字元、分行符號或以下任何字元:_+=,. @-/\[{}]!#$%^*():;"'`。
配置完成後,單擊右下角建立角色。
三、驗證 AWS 角色 SSO
登入 IDaaS 門戶。
在我的應用程式頁面,單擊AWS角色 SSO(中國站)應用。
系統將自動跳轉至 AWS 角色帳號,無需再次登入認證。