在AWS中使用Azure Active Directory和AWS IAM实现SSO

103次阅读
没有评论

问题描述

尝试创建一个流程,使用户可以使用Azure Active Directory凭据在AWS控制台进行身份验证,并且可以使用IAM管理他们的帐户访问权限。用户已经将AWS SSO与Azure Active Directory连接,但是在将AWS SSO配置为AWS IAM的身份提供者时遇到了问题。另外,在尝试使用已分配给该应用程序的用户登录到AWS控制台时,AWS的URL打开后显示消息:

You do not have any applications

请问有人能帮助我理解,我在设置SSO时可能遗漏了哪些步骤或遇到了什么问题?

解决方案

以下解决方案基于提供的步骤和信息,如果存在版本差异,或者您遇到问题,请注意根据需要进行适当的调整。

步骤1:设置AWS SSO和Azure Active Directory连接

  1. 在AWS控制台的根用户下,选择 “AWS SSO”。
  2. 选择 “添加外部提供者” 并选择 “SSO” 作为身份提供者。
  3. 下载 “AWS SSO SAML metadata” XML文件。

步骤2:配置Azure Active Directory

  1. 在Azure中,添加一个企业应用程序,命名为 “AWS Single Sign-on”。
  2. 在 “AWS Single Sign-on” 应用程序中,选择 “单点登录 (SAML)”,上传之前下载的 “AWS SSO SAML metadata” XML文件,并设置 “Sign on URL”。

步骤3:配置AWS的IdP SAML Metadata

  1. 从Azure中下载 “Federation Metadata XML” 文件。
  2. 在AWS SSO设置中,上传 “IdP SAML Metadata”。

步骤4:自动配置用户的AWS访问权限

  1. 在AWS中,将 “Provisioning” 从 “Manual” 更改为 “Automatic”,以获取 “SCIM endpoint” 和 “Secret Token”。
  2. 在Azure的 “AWS Single Sign-on” 应用程序设置中,前往 “Provisioning”,并输入 “SCIM endpoint” 和 “Secret Token”。启动自动配置,将在40分钟内进行同步。

步骤5:分配用户访问权限

  1. 将用户(例如B.Simon)分配给 “AWS Single Sign-on” 应用程序。

解决方案:

用户遇到的问题可能涉及以下几个方面:

问题1:登录后显示 “You do not have any applications”

这可能是由于身份提供者配置不正确造成的。请确保在Azure中正确配置了 “AWS Single Sign-on” 应用程序的 “Single sign-on” 设置,特别是 “Sign on URL”。

问题2:无法为用户创建IAM角色

要为用户创建IAM角色,您需要按照以下步骤操作:
1. 在AWS控制台中,导航到 “IAM”。
2. 选择 “角色”,然后选择 “创建角色”。
3. 选择 “受信任的实体类型” 为 “AWS服务”。
4. 选择 “使用情景” 为 “AWS服务-EC2″。
5. 为 “权限策略” 添加适当的权限,以控制用户的访问权限。
6. 定义角色名称和描述,然后完成创建。

请注意,为了使用户能够将IAM角色与他们的SSO登录关联起来,您需要进一步检查您的AWS SSO和IAM设置,以确保两者之间的集成正确。如果问题仍然存在,您可以查看AWS SSO和IAM的文档,或者联系AWS支持以获取进一步的帮助。

以上是您设置AWS SSO和Azure Active Directory与AWS IAM集成的一般步骤。如果您遇到特定问题,建议查阅AWS和Azure的官方文档以获取更详细的指导。

注意:本文档中提供的步骤和建议基于您提供的信息和问题描述。如果存在版本差异或其他特定情况,请适当调整步骤和配置。如果您遇到问题,请随时查阅相关文档或联系相应的技术支持。

正文完