本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 IAM 身份中心设置单点登录 (SSO)
如果您尚未将身份中心连接到托管 Active Directory,请从开始步骤 1:设置身份中心。如果您已经将身份中心与托管的 Active Directory 连接在一起,请从开始步骤 2:Connect 连接到身份中心。
注意
如果您要部署到 AWS GovCloud (美国西部)区域,请在部署 Research and Engineering Studio 的 AWS GovCloud (US) 分区账户中设置 SSO。
步骤 1:设置身份中心
打开身份中心。
选择 启用。
选择 “启用方式” AWS Organizations。
选择继续。
注意
确保您所在的区域与托管活动目录所在的区域相同。
启用 IAM Identity Center 后,请完成以下推荐的设置步骤:
-
在导航窗格中,选择设置。
-
在 “身份来源” 下,选择 “操作”,然后选择 “更改身份来源”。
-
在 “现有目录” 下,选择您的目录。
-
选择下一步。
-
查看您的更改并在确认框
ACCEPT中输入。 -
选择更改身份源。
所做的更改完成后,将出现一个绿色的确认横幅。将 IAM 身份中心连接到托管活动目录
-
在确认横幅中,选择启动引导式设置。
-
在配置属性映射中,选择下一步。
-
在 “用户” 部分下,输入要同步的用户。
-
选择添加。
-
选择下一步。
-
查看您的更改,然后选择保存配置。
-
同步过程可能需要几分钟。如果您收到有关用户未同步的警告消息,请选择恢复同步。
-
从菜单中选择 “用户”。
-
选择要为其启用访问权限的用户。
-
选择 “启用用户访问权限”。
步骤 2:Connect 连接到身份中心
-
选择 “应用程序”。
-
选择 “添加应用程序”。
-
在 “设置” 首选项下,选择 “我有要设置的应用程序”。
-
在 “应用程序类型” 下,选择 SAML 2.0。
-
选择下一步。
-
输入您要使用的显示名称和描述。
-
在 IAM 身份中心元数据下,复制 IAM 身份中心 SAML 元数据文件的链接。在使用 RES 门户配置 IAM 身份中心时,您将需要这个。
-
在 “应用程序属性” 下,输入您的应用程序起始 URL。例如
<your-portal-domain>/sso。 -
在 “应用程序 ACS URL” 下,输入来自 RES 门户的重定向 URL。要找到这个:
-
在 “环境管理” 下,选择 “常规设置”。
-
选择 Identity provider 选项卡。
-
在 “单点登录” 下,您将找到 SAML 重定向网址。
-
-
在 “应用程序 SAML 受众” 下,输入 Amazon Cognito URN。
要创建骨灰盒,请执行以下操作:
-
在 RES 门户中,打开 “常规设置”。
-
在 “身份提供商” 选项卡下,找到用户池 ID。
-
将用户池 ID 添加到以下字符串:
urn:amazon:cognito:sp:<user_pool_id>
-
-
输入 Amazon Cognito URN 后,选择提交。
-
在身份中心中,打开您创建的应用程序的详细信息。
-
选择操作,然后选择编辑属性映射。
-
在主题下,输入
${user:email}。 -
在 “格式” 下,选择 “电子邮件地址”。
-
选择 “添加新属性映射”。
-
在应用程序的用户属性下,输入 “电子邮件”。
-
在 IAM Identity Center 中映射到此字符串值或用户属性下,输入
${user:email}。 -
在 “格式” 下,输入 “未指定”。
-
选择保存更改。
-
在 Identity Center 中,为你创建的应用程序打开分配的用户,然后选择分配用户。
-
选择要分配应用程序访问权限的用户。
-
选择 “分配用户”。
-
在 “研究与工程工作室” 环境中,在 “环境管理” 下,打开 “常规设置”。
-
打开 “身份提供商” 选项卡。
-
在 “单点登录” 下,选择 “编辑”(在 “状态” 旁边)。
-
在表格中填写以下信息:
-
选择 SAML。
-
在 “提供者名称” 下,输入用户友好的名称。
-
选择输入元数据文档端点 URL。
-
输入您在期间复制的 URL 在 IAM 身份中心设置应用程序。
-
在 “提供商电子邮件属性” 下,输入 “电子邮件”。
-
选择提交。
-
-
刷新页面并检查状态是否显示为已启用。
