为 AWS Client VPN 启用 SAML
可以通过完成以下步骤为 Client VPN 启用单点登录 SAML。或者,如果您为 Client VPN 端点启用了自助服务门户,请指示用户转到自助服务门户来获取配置文件和 AWS 提供的客户端。有关更多信息,请参阅 AWS Client VPN 访问自助服务门户。
要使基于 SAML 的 IdP 能够用于 Client VPN 端点,您必须执行以下操作。
-
在您选定的 IdP 中创建基于 SAML 的应用程序,以用于 AWS Client VPN,或者使用现有应用程序。
-
配置 IdP 以与 AWS 建立信任关系 有关资源,请参阅基于 SAML 的 IdP 配置资源。
-
在 IdP 中,生成和下载联合身份元数据文档,该文档将您的组织描述为 IdP。
此签名 XML 文档用于在 AWS 和 IdP 之间建立信任关系。
-
在客户端 VPN 终端节点所处的同一 AWS 账户中创建 IAM SAML 身份提供商。
IAM SAML 身份提供程序通过 IdP 生成的元数据文档定义组织中 IdP 与 AWS 之间的信任关系。有关更多信息,请参阅 IAM 用户指南 中的创建 IAM SAML 身份提供商。如果稍后更新 IdP 中的应用程序配置,请生成新的元数据文档并更新 IAM SAML 身份提供程序。
注意
您无需创建 IAM 角色即可使用 IAM SAML 身份提供程序。
-
创建客户端 VPN 终端节点。
将联合身份验证指定为身份验证类型,并指定您创建的 IAM SAML 身份提供程序。有关更多信息,请参阅创建 AWS Client VPN 端点。
-
导出客户端配置文件并将其分发给用户。指示用户下载 AWS 提供的客户端的最新版本,然后使用它加载配置文件并连接到 Client VPN 端点。
