本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM Identity Center 設定單一登入 (SSO)
如果您還沒有連接到受管 Active Directory 的身分中心,請從 開始步驟 1:設定身分中心。如果您已有與受管 Active Directory 連線的身分中心,請從 開始步驟 2:連線至身分中心。
注意
如果您要部署至 AWS GovCloud (美國西部) 區域,請在 AWS GovCloud (US) 部署 Research and Engineering Studio 的分割區帳戶中設定 SSO。
步驟 1:設定身分中心
開啟 Identity Center。
選取 Enable (啟用)。
選取使用 啟用 AWS Organizations。
選取繼續。
注意
請確定您位於擁有受管 Active Directory 的相同區域。
啟用 IAM Identity Center 之後,請完成以下建議的設定步驟:
-
在導覽窗格中,選取設定。
-
在身分來源下,選取動作,然後選擇變更身分來源。
-
在現有目錄下,選取您的目錄。
-
選取下一步。
-
檢閱您的變更
ACCEPT,然後在確認方塊中輸入 。 -
選取變更身分來源。
在 中所做的變更將 IAM Identity Center 連線至受管 Active Directory完成後,會出現綠色確認橫幅。
-
在確認橫幅中,選取開始引導設定。
-
在設定屬性映射中,選取下一步。
-
在使用者區段下,輸入您要同步的使用者。
-
選取新增。
-
選取下一步。
-
檢閱您的變更,然後選取儲存組態。
-
同步程序可能需要幾分鐘的時間。如果您收到有關使用者未同步的警告訊息,請選取繼續同步。
-
從功能表中,選取使用者。
-
選擇您要為其啟用存取權的 (使用者)。
-
選取啟用使用者存取。
步驟 2:連線至身分中心
-
選取應用程式。
-
選取新增應用程式。
-
在設定偏好設定下,選取我想要設定的應用程式。
-
在應用程式類型下,選取 SAML 2.0。
-
選取下一步。
-
輸入您要使用的顯示名稱和描述。
-
在 IAM Identity Center 中繼資料下,複製 IAM Identity Center SAML 中繼資料檔案的連結。使用 RES 入口網站設定 IAM Identity Center 時,您將需要此項目。
-
在應用程式屬性下,輸入您的應用程式啟動 URL。例如
<your-portal-domain>/sso。 -
在應用程式 ACS URL 下,從 RES 入口網站輸入重新導向 URL。若要尋找此項目:
-
在環境管理下,選取一般設定。
-
選擇身分提供者索引標籤。
-
在單一登入下,您會找到 SAML 重新導向 URL。
-
-
在應用程式 SAML 對象下,輸入 Amazon Cognito URN。
若要建立 urn:
-
從 RES 入口網站開啟一般設定。
-
在身分提供者索引標籤下,找到使用者集區 ID。
-
將使用者集區 ID 新增至此字串:
urn:amazon:cognito:sp:<user_pool_id>
-
-
輸入 Amazon Cognito URN 之後,請選取提交。
-
從 Identity Center 開啟所建立應用程式的詳細資訊。
-
選取動作,然後選取編輯屬性映射。
-
在主旨下,輸入
${user:email}。 -
在格式下,選取 emailAddress。
-
選取新增屬性映射。
-
在應用程式中的使用者屬性下,輸入 'email'。
-
在 IAM Identity Center 中此字串值或使用者屬性的映射下,輸入
${user:email}。 -
在格式下,輸入「未指定」。
-
選取儲存變更。
-
從 Identity Center 開啟所建立應用程式的指派使用者,然後選擇指派使用者。
-
選擇您要指派應用程式存取的使用者。
-
選取指派使用者。
-
在環境管理下的研究和工程 Studio 環境中,開啟一般設定。
-
開啟身分提供者索引標籤。
-
在單一登入下,選取編輯 (狀態旁邊)。
-
使用下列資訊填寫表單:
-
選擇 SAML。
-
在提供者名稱下,輸入使用者易記的名稱。
-
選取輸入中繼資料文件端點 URL。
-
輸入您在 期間複製的 URL在 IAM Identity Center 中設定應用程式。
-
在提供者電子郵件屬性下,輸入 'email'。
-
選擇提交。
-
-
重新整理頁面並檢查狀態是否顯示為已啟用。
