本文介绍如何在飞连管理后台使用 SAML 协议为 AWS 启用单点登录 (SSO),实现用户通过飞连直接访问 AWS,无需输入账号和密码。
获取飞连Metadata文件
访问https://{portal_host}:{portal_port}/api/idp/metadata,其中{portal_host}:{portal_port}请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml格式的元数据文件到本地。
在AWS IAM控制台添加身份提供商
访问 AWS IAM 控制台 ,选择访问管理 > 身份提供商,单击创建提供商。
选择提供商类型为 SAML,填写提供商名称,并上传获取飞连Metadata文件中下载的元数据文件。
创建完成后,保存详情页面 ARN 记录为 IAM ARN。
选择分配角色 > 创建新的角色,然后单击下一步。
选择SAML 2.0 身份联合,选择下方的 SAML 提供商为刚刚创建的身份提供商,选择允许编程访问和 AWS 管理控制台访问,然后单击下一步。
赋予角色权限,本文选择最高权限 AdministratorAccess,然后单击下一步。
直接单击下一步。
填写一个角色名称,然后单击创建角色。
进入刚刚创建的角色详情页面,保存 ARN 记录为 Role ARN,并选择「信任关系」,保存下方 Json 中的 SAML:aud 的值,为 单点登录地址。
创建应用
登录飞连管理后台。
在左侧导航栏,单击应用接入。
在应用接入页面,单击右上角的应用市场。
在添加新应用页面的筛选条件区域,搜索 AWS 应用模板卡片。
在搜索结果区域,单击该应用模版卡片,并在所选模板卡片的右下角,单击添加应用。
在填写应用信息页面,配置应用信息并单击确定。
关键参数说明如下表所示。配置项
说明
应用名称
(必填)自定义应用的名称。
应用访问地址
请填写 AWS 的服务地址。
AWS 唯一标识
(必填)AWS 应用在飞连租户内的唯一标识,自定义,保证租户内所有应用唯一
应用网关
应用网关的配置项说明,请参见添加应用。
创建角色
登录飞连管理后台。
在左侧导航栏,单击角色管理。单击静态角色列表底部的自定义新建。
在添加角色页面配置相关参数。
配置项
说明
角色名称
角色名称的内容为 Role ARN,IAM ARN,两个字符串中间用英文逗号分隔。
格式如下:arn:aws:iam::{用户ID}:role/{AWS中的角色名称},arn:aws:iam::{用户ID}:saml-provider/{AWS中的身份提供商名称}角色类型
选择静态角色。
角色范围
角色范围是指该角色包括哪些成员,您可以选择指定的员工或部门。
添加应用授权
- 登录飞连管理后台。
- 在左侧导航栏,单击应用接入。
- 在应用接入页面,单击刚刚创建的应用。
- 单击应用授权页签,单击添加角色,选择刚刚创建的角色,单击确认。
进入飞连门户页面,单击刚刚创建的应用,即可跳转到AWS。
1、登录报错“Error: Your request included an invalid SAML response. to logout, click here.”
请按以下顺序进行排查,如若仍然报错,请联系飞连。
- 确保登录用户在飞连中拥有对应的角色权限。
- 确保配置应用关联了对应的角色。
- 确保登录用户在飞连中的邮箱和在AWS中的邮箱相同。
2、如何配置AWS最大会话持续时间(不配置AWS默认一小时)。
- 进入飞连管理后台
- 选择身份管理 > 账号配置 > 高级配置,单击添加字段。
- 其中字段 Key 和字段名称为在组织架构中显示的字段,保证不重复即可。
- 字段类型选择 表达式。
- 表达式填写
'43200',格式为英文单引号包裹的数字,范围为900 秒 (15 分钟) 到 43200 秒 (12 小时),最终生效和AWS 配置取最小值。
- 选择应用管理 > 应用接入,单击刚刚创建的应用,单击单点登录页签。
- 单击映射关系右侧的编辑,单击添加映射,添加一条关系映射,并单击确定。
飞连字段选择刚刚创建的字段名称,应用字段添加字段为https://aws.amazon.com/SAML/Attributes/SessionDuration。 - 访问 AWS IAM 控制台 ,选择访问管理 > 角色,单击对应飞连配置的角色。
- 单击编辑,配置需要的最大会话持续时间,之后单击保存更改。
- 重新通过飞连跳转到 AWS。