通过 AWS IAM Identity Center 单点登录示例¶
AWS IAM Identity Center(原 AWS SSO)是 AWS 提供的集中式身份管理服务,支持通过单点登录(SSO)统一管控用户对多个 AWS 账户、云应用(如 Salesforce、GitHub)及混合云资源的访问权限。
注意:
1、启用 IAM Identity Center¶
在本示例中,假设登录 AWS 平台的用户账号此前未曾使用过 IAM Identity Center 服务,此次为其首次使用。
- 登录 AWS 控制台;
- 在搜索栏中,输入 IAM Identity Center;
- 点击“启用”。
注意:
- 在启用 IAM Identity Center时,需注意控制台顶部导航栏的区域选择。服务启用后将无法直接切换区域,需在新区域重新启用并重新配置所有设置;
- 若您的组织已有 AWS 主管理区域(如 us-east-1 或 ap-northeast-1),建议保持一致,便于统一管理。
2、创建自定义 SAML 2.0 应用程序¶
在应用程序管理页面,选择“客户托管”,并点击“添加应用程序”。
为什么选择“客户托管(Custom)
| 选项 | 适用场景 |
|---|---|
| AWS 托管 | AWS 已预集成的第三方 SaaS 应用(如 Salesforce、Slack、Zoom 等)。AWS 自动提供元数据和配置模板。 |
| 客户托管 | 需要手动配置 SAML 的第三方平台(非 AWS 预集成应用,如本文中的示例对象“观测云平台”),需自行提供 SAML 元数据或 ACS URL。 |
- 选择应用程序类型为“我想设置应用程序”;
- 继续选择 SAML 2.0,进入下一步。
配置应用程序¶
- 定义该应用程序的显示名称,如
guance; - 按需输入描述;
- 在 “IAM Identity Center 元数据”下,点击下载 IAM Identity Center SAML 元数据文件和证书;
- 在应用程序元数据,将“应用程序 ACS URL” 和“应用程序 SAML 受众”两个字段填写为:https://auth.guance.com/login/sso;
- 提交当前配置;
- 页面将提示应用程序添加成功。
3、编辑属性映射¶
属性映射是 SAML 集成的核心配置,用于将 AWS 用户属性传递至观测云。
回到应用程序详情页后,在页面右上方点击操作 > 编辑属性映射,在这里进行 AWS 的用户登录的身份与观测云的角色身份的映射关系。
- 系统默认提供字段
Subject(用户唯一标识符),选择将其映射为${user:email}; - 配置完毕后点击保存更改。
4、分配用户和组访问权限¶
您在 Identity Center 目录中创建的用户和组仅在 IAM Identity Center 中可用。后续可为其分配权限。在本示例中,默认当前目录未添加过用户和组。
步骤 1:添加用户¶
- 进入控制台 > 用户页面;
- 点击“添加用户”;
- 定义用户名,选择用户接受密码的方式,并输入邮箱、名字、姓氏、显示名称;
- 进入下一步。
注意:此处的用户名、密码、邮箱均为后续该用户单点登录时会用到的必需配置。
步骤 2:将用户添加到组¶
- 若当前目录中没有组,进入右侧创建入口;
- 定义组名;
- 点击右下角“创建”按钮;
- 回到添加用户页面,选择该组,进入下一步;
- 确认添加该用户。状态消息将通知您,您已成功添加该用户。
步骤 3:为应用程序分配用户和组¶
- 进入应用程序,选择配置的程序(此处示例为上文配置的
guance),为其分配用户和组; - 搜索勾选需要分配权限的所有用户和组;
- 审核通过后即可创分配成功。
5、在观测云创建用户 SSO 身份提供商¶
- 登录进入观测云工作空间 > 管理 > 成员管理 > 用户 SSO;
- 选择 SAML;
- 点击添加身份提供商,开始配置;
- 定义身份提供商名称为
aws_sso; - 上传配置应用程序时下载的元数据文档;
- 定义访问限制为
guance.com; - 选择角色和会话保持时间;
- 点击确认。
此处的更多配置详情,可参考 SSO 管理。
6、登录验证¶
- 登录进入观测云单点登录页面:https://auth.guance.com/login/sso;
- 在列表中选择在 AWS 侧创建的应用程序;
- 登录地址;
- 输入用户名、密码;
- 即可登录成功。
