获取飞连Metadata文件

• 访问https://{portal_host}:{portal_port}/api/idp/metadata，其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口，保存网页内容为.xml格式的元数据文件到本地。

在AWS IAM控制台添加身份提供商

• 访问 AWS IAM 控制台 ，接入「访问管理」>「身份提供商」，点击「创建提供商」。

• 选择「提供商类型」为 SAML，填写提供商名称，并上传【步骤1】中下载的元数据文件。

• 创建完成后，保存详情页面 ARN 记录为 IAM ARN。

• 选择「分配角色」-「创建新的角色」，然后点击「下一步」。

• 选择「SAML 2.0 身份联合」，选择下方的【SAML 提供商】为刚刚创建的身份提供商，选择允许编程访问和 AWS 管理控制台访问，然后点击「下一步」。

• 赋予角色权限，本文选择最高权限 AdministratorAccess，然后点击「下一步」。

• 直接点击「下一步」。

• 填写一个角色名称，然后点击「创建角色」

• 进入刚刚创建的角色详情页面，保存 ARN 记录为 Role ARN，并选择「信任关系」，保存下方Json中的 SAML:aud 的值，为 单点登录地址。

应用模板-创建AWS应用

• 进入飞连管理后台
• 选择「应用管理」- 「应用列表」，点击添加应用

• 应用模板- 选择 「AWS」，点击进入创建界面

• 填写基本信息「应用名称（必填）」，「应用地址」，「应用描述」

• 填写应用功能
  • 填写AWS 唯一标识 为任意标识值。（必填）
  • 应用网关（非必填，勾选开启，默认不开启）
  • 最后点击确定

创建角色

• 进入飞连管理后台
• 选择「身份管理」-「角色管理」，点击「自定义新建」。
• 输入角色名的内容为，Role ARN,IAM ARN，两个字符串中间用英文逗号分隔。
  • 格式如下：

arn:aws:iam::{用户ID}:role/{AWS中的角色名称},arn:aws:iam::{用户ID}:saml-provider/{AWS中的身份提供商名称}

• 点击「添加成员」，选择有权限拥有此角色的用户，点击确认。

添加应用授权

• 进入飞连管理后台
• 选择「应用管理」- 「应用列表」，点击「刚刚创建的应用」
• 选择应用授权，点击添加角色，选择刚刚创建的角色，点击确认

配置完成-单点登录AWS

• 进入飞连门户页面，点击刚刚创建的应用，即可跳转到AWS

1、登录报错“Error: Your request included an invalid SAML response. to logout, click here.”

请按以下顺序进行排查，如若仍然报错，请联系飞连。

• 确保登录用户在飞连中拥有对应的角色权限。
• 确保配置应用关联了对应的角色。
• 确保登录用户在飞连中的邮箱和在AWS中的邮箱相同。

2、如何配置AWS最大会话持续时间（不配置AWS默认一小时）。

AWS 登录有效期配置

• 进入飞连管理后台
• 选择「身份管理」-「账号配置」-「扩展属性」，点击【添加字段】。
  • 其中【字段KEY】和【字段名称】为在「组织架构」中显示的字段，保证不重复即可。
  • 【字段类型】选择 表达式。
  • 【字段值】填写 '43200' ，格式为英文单引号包裹的数字，范围为900 秒 (15 分钟) 到 43200 秒 (12 小时)最终生效和aws配置取最小值。

• 选择「应用管理」- 「应用列表」，点击「刚刚创建的应用」，点击「单点登录」。
• 点击添加字段，添加一条关系映射，并点击保存。（可参考上述第5步，「添加属性映射」）
  • 飞连用户属性选择【刚刚创建的字段名称】，应用用户属性添加字段为https://aws.amazon.com/SAML/Attributes/SessionDuration。

• 访问 AWS IAM 控制台 ，接入「访问管理」>「角色」，点击「对应飞连配置的角色」。

• 点击「编辑」，配置需要的最大会话持续时间，之后点击【保存更改】。

• 重新通过飞连跳转到AWS。