本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM Identity Center 設定單一登入 (SSO)
如果您還沒有連接到受管 Active Directory 的身分中心,請從 開始步驟 1:設定身分中心。如果您已有與受管 Active Directory 連線的身分中心,請從 開始步驟 2:連線至身分中心。
注意
如果您要部署至 GovCloud 區域,請在 AWS GovCloud (US) 部署 Research and Engineering Studio 的分割區帳戶中設定 SSO。
步驟 1:設定身分中心
開啟 Identity Center。
選擇 啟用 。
選擇使用 啟用 AWS Organizations。
選擇繼續。
注意
請確定您位於擁有受管 Active Directory 的相同區域。
啟用 IAM Identity Center 之後,請完成以下建議的設定步驟:
-
在導覽窗格中,選擇設定。
-
在身分來源下,選擇動作,然後選擇變更身分來源。
-
在現有目錄下,選取您的目錄。
-
選擇下一步。
-
檢閱您的變更
ACCEPT
,然後在確認方塊中輸入 。 -
選擇變更身分來源。
在 中所做的變更將 IAM Identity Center 連線至受管 Active Directory完成後,會出現綠色確認橫幅。
-
在確認橫幅中,選擇開始引導設定。
-
從設定屬性映射中,選擇下一步。
-
在使用者區段下,輸入您要同步的使用者。
-
選擇新增。
-
選擇下一步。
-
檢閱您的變更,然後選擇儲存組態。
-
同步程序可能需要幾分鐘的時間。如果您收到有關使用者未同步的警告訊息,請選擇繼續同步。
-
從功能表中,選擇使用者。
-
選取您要為其啟用存取權的 (使用者)。
-
選擇啟用使用者存取。
步驟 2:連線至身分中心
-
選擇 Applications (應用程式)。
-
選擇新增應用程式。
-
在設定偏好設定下,選擇我有想要設定的應用程式。
-
在應用程式類型下,選擇 SAML 2.0。
-
選擇下一步。
-
輸入您要使用的顯示名稱和描述。
-
在 IAM Identity Center 中繼資料下,複製 IAM Identity Center SAML 中繼資料檔案的連結。使用 RES 入口網站設定 IAM Identity Center 時,您將需要此項目。
-
在應用程式屬性下,輸入您的應用程式啟動 URL。例如
<your-portal-domain>/sso
。 -
在應用程式 ACS URL 下,從 RES 入口網站輸入重新導向 URL。若要尋找此項目:
-
在環境管理下,選擇一般設定。
-
選取身分提供者索引標籤。
-
在單一登入下,您會找到 SAML 重新導向 URL。
-
-
在應用程式 SAML 對象下,輸入 Amazon Cognito URN。
若要建立 urn:
-
從 RES 入口網站開啟一般設定。
-
在身分提供者索引標籤下,找到使用者集區 ID。
-
將使用者集區 ID 新增至此字串:
urn:amazon:cognito:sp:
<user_pool_id>
-
-
輸入 Amazon Cognito URN 之後,請選擇提交。
-
從 Identity Center 開啟所建立應用程式的詳細資訊。
-
選擇動作,然後選擇編輯屬性映射。
-
在主旨下,輸入
${user:email}
。 -
在格式下,選擇 emailAddress。
-
選擇新增屬性映射。
-
在應用程式中的使用者屬性下,輸入「電子郵件」。
-
在 IAM Identity Center 中此字串值或使用者屬性的映射下,輸入
${user:email}
。 -
在格式下,輸入「未指定」。
-
選擇儲存變更。
-
從 Identity Center 開啟所建立應用程式的指派使用者,然後選擇指派使用者。
-
選取您要指派應用程式存取權的使用者。
-
選擇 Assign users (指派使用者)。
-
在環境管理下的研究和工程 Studio 環境中,開啟一般設定。
-
開啟身分提供者索引標籤。
-
在單一登入下,選擇編輯 (狀態旁邊)。
-
使用下列資訊填寫表單:
-
選擇 SAML。
-
在提供者名稱下,輸入使用者易記的名稱。
-
選擇輸入中繼資料文件端點 URL。
-
輸入您在 期間複製的 URL在 IAM Identity Center 中設定應用程式。
-
在提供者電子郵件屬性下,輸入 'email'。
-
選擇提交。
-
-
重新整理頁面並檢查狀態是否顯示為已啟用。