如何使用SAML2登录AWS中国区控制台

44次阅读

没有评论

共计 1874 个字符，预计需要花费 5 分钟才能阅读完成。

今天就跟大家聊聊有关如何使用 SAML2 登录 AWS 中国区控制台，可能很多人都不太了解，为了让大家更加了解，丸趣 TV 小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

AWS
中国区
和
国际区
的配置稍有不同，丸趣 TV 小编讲述使用 Authing SAML2 IdP 登录 AWS 中国区控制台的相关配置。

准备工作

如果你还没有 Authing 账号，请先注册 (https://console.authing.cn) 一个 Authing 账号、新建一个用户池并创建一个应用。

配置 Authing SAML2 IdP

进入
控制台

应用

应用列表
，找到你的应用，点击「配置」。

点击「配置 SAML2 身份提供商」，打开「启用 SAML2 Provider」开关，下方的
默认 ACS 地址
填写：https://signin.amazonaws.cn/saml。

设置内容请粘贴以下内容：

{
  audience :  https://signin.amazonaws.cn/saml ,
  recipient :  https://signin.amazonaws.cn/saml ,
  destination :  https://signin.amazonaws.cn/saml ,
  mappings : { email :  https://aws.amazon.com/SAML/Attributes/RoleSessionName 
 },
  digestAlgorithm :  http://www.w3.org/2000/09/xmldsig#sha1 ,
  signatureAlgorithm :  http://www.w3.org/2000/09/xmldsig#rsa-sha1 ,
  authnContextClassRef :  urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified ,
  lifetimeInSeconds : 3600,
  signResponse : false,
  nameIdentifierFormat :  urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ,
  samlRequestSigningCert :  }

最下方的自定义 SAML Response 属性添加一条，Name 属性为：https://aws.amazon.com/SAML/Attributes/Role，类型选择 Uri，值按照此格式填写 arn:aws-cn:iam:: AWS 账号 ID :role/ 角色名称 ,arn:aws-cn:iam:: AWS 账号 ID :saml-provider/ 身份提供商名称。点击「保存」。

可以先随意填写上面的 AWS 账号 ID、身份提供商名称和角色名称，等配置完 AWS IAM 控制台之后再来修改。

最后下载 SAML2 Identity Provider 的元数据文档：

https://core.authing.cn/api/v2/saml-idp/
应用 ID /metadata

配置 AWS IAM 控制台

登录 AWS IAM 控制台 (opens new window)，进入
访问管理

身份提供商
，点击「创建提供商」。

选择 SAML，填写提供商名称，上传刚刚下载的元数据文档，然后点击「下一步」。

点击「创建」。

创建成功后，进入
访问管理

角色
，点击「创建角色」。

选择
SAML2.0 身份联合
，在 SAML 提供商选择刚刚创建的 SAML 提供商，这里选择 Authing，选择
允许编程访问和 AWS 管理控制台访问
，然后点击「下一步」。

赋予角色权限，本文选择最高权限 AdministratorAccess，然后点击「下一步」。

点击「下一步」。

填写一个角色名称，记录下面的身份提供商 arn，然后点击「创建角色」。