使用 IAM Identity Center 設定單一登入 (SSO) - 研究與工程 Studio

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM Identity Center 設定單一登入 (SSO)

如果您還沒有連接到受管 Active Directory 的身分中心,請從 開始步驟 1:設定身分中心。如果您已有與受管 Active Directory 連線的身分中心,請從 開始步驟 2:連線至身分中心

注意

如果您要部署至 GovCloud 區域,請在 AWS GovCloud (US) 部署 Research and Engineering Studio 的分割區帳戶中設定 SSO。

步驟 1:設定身分中心

  1. 登入 AWS Identity and Access Management 主控台

  2. 開啟 Identity Center

  3. 選擇 啟用

  4. 選擇使用 啟用 AWS Organizations

  5. 選擇繼續

注意

請確定您位於擁有受管 Active Directory 的相同區域。

啟用 IAM Identity Center 之後,請完成以下建議的設定步驟:

  1. 在導覽窗格中,選擇設定

  2. 身分來源下,選擇動作,然後選擇變更身分來源

  3. 現有目錄下,選取您的目錄。

  4. 選擇下一步

  5. 檢閱您的變更ACCEPT,然後在確認方塊中輸入 。

  6. 選擇變更身分來源

在 中所做的變更將 IAM Identity Center 連線至受管 Active Directory完成後,會出現綠色確認橫幅。

  1. 在確認橫幅中,選擇開始引導設定

  2. 設定屬性映射中,選擇下一步

  3. 使用者區段下,輸入您要同步的使用者。

  4. 選擇新增

  5. 選擇下一步

  6. 檢閱您的變更,然後選擇儲存組態

  7. 同步程序可能需要幾分鐘的時間。如果您收到有關使用者未同步的警告訊息,請選擇繼續同步

  1. 從功能表中,選擇使用者

  2. 選取您要為其啟用存取權的 (使用者)。

  3. 選擇啟用使用者存取

步驟 2:連線至身分中心

  1. 開啟 IAM Identity Center 主控台

  2. 選擇 Applications (應用程式)

  3. 選擇新增應用程式

  4. 設定偏好設定下,選擇我有想要設定的應用程式

  5. 應用程式類型下,選擇 SAML 2.0。

  6. 選擇下一步

  7. 輸入您要使用的顯示名稱和描述。

  8. IAM Identity Center 中繼資料下,複製 IAM Identity Center SAML 中繼資料檔案的連結。使用 RES 入口網站設定 IAM Identity Center 時,您將需要此項目。

  9. 應用程式屬性下,輸入您的應用程式啟動 URL。例如 <your-portal-domain>/sso

  10. 應用程式 ACS URL 下,從 RES 入口網站輸入重新導向 URL。若要尋找此項目:

    1. 環境管理下,選擇一般設定

    2. 選取身分提供者索引標籤。

    3. 單一登入下,您會找到 SAML 重新導向 URL

  11. 應用程式 SAML 對象下,輸入 Amazon Cognito URN。

    若要建立 urn:

    1. 從 RES 入口網站開啟一般設定

    2. 身分提供者索引標籤下,找到使用者集區 ID

    3. 使用者集區 ID 新增至此字串:

      urn:amazon:cognito:sp:<user_pool_id>
  12. 輸入 Amazon Cognito URN 之後,請選擇提交

  1. Identity Center 開啟所建立應用程式的詳細資訊。

  2. 選擇動作,然後選擇編輯屬性映射

  3. 主旨下,輸入 ${user:email}

  4. 格式下,選擇 emailAddress

  5. 選擇新增屬性映射

  6. 在應用程式中的使用者屬性下,輸入「電子郵件」。

  7. IAM Identity Center 中此字串值或使用者屬性的映射下,輸入 ${user:email}

  8. 格式下,輸入「未指定」。

  9. 選擇儲存變更

  1. 從 Identity Center 開啟所建立應用程式的指派使用者,然後選擇指派使用者

  2. 選取您要指派應用程式存取權的使用者。

  3. 選擇 Assign users (指派使用者)

  1. 在環境管理下的研究和工程 Studio 環境中,開啟一般設定

  2. 開啟身分提供者索引標籤。

  3. 單一登入下,選擇編輯 (狀態旁邊)。

  4. 使用下列資訊填寫表單:

    1. 選擇 SAML

    2. 提供者名稱下,輸入使用者易記的名稱。

    3. 選擇輸入中繼資料文件端點 URL

    4. 輸入您在 期間複製的 URL在 IAM Identity Center 中設定應用程式

    5. 提供者電子郵件屬性下,輸入 'email'。

    6. 選擇提交

  5. 重新整理頁面並檢查狀態是否顯示為已啟用。