AWS与竹云IDaaS认证集成

说明

本文介绍如何实现IDaaS登录AWS控制台。

认证配置

操作流程

前提条件

• 1.管理员拥有AWS账号。

• 2.管理员拥有IDaaS企业中心访问权限。

AWS控制台配置

• 1.以管理员身份登录AWS控制台 单击" 服务"选项卡。在安全性，身份和合规性下，单击IAM（身份和访问管理） 从左侧列表中，单击Identity Providers，然后单击右侧部分中的Create Provider按钮。

在" 配置提供程序"中，从下拉列表中选择"SAML作为提供程序类型" 输入提供商名称 单击" 选择文件"按钮，选择已下载的IDP元数据文件，然后单击" 下一步"，获取IDaaS的IDP元数据请参考获取IDP sp元数据。

• 2.创建角色

IDaaS配置

• 1.添加内置应用AWS
• 2.配置认证参数

根据以下地址保存对应AWS元数据xml文件，导入SP应用元数据，进行认证参数配置。

AWS元数据地址：

• 国际版：https://signin.aws.amazon.com/static/saml-metadata.xml
• 国内版：https://signin.amazonaws.cn/static/saml-metadata.xml

• 3.映射配置 点击应用图标【认证配置】--》【映射配置】--》添加映射

以国际版为例，下面两个属性为必传属性，AWS元数据中可获取属性名称

国际版和国内版属性名称中的域名地址存在差异

• https://aws.amazon.com/SAML/Attributes/Role ：
  • arn:aws:iam::AWS Account:role/角色名,arn:aws:iam::AWS Account:saml-provider/身份供应商名
  • 在AWS角色详情中获取该参数，用英文逗号隔开
• https://aws.amazon.com/SAML/Attributes/RoleSessionName：
  • 可以选择用户邮箱属性

• 4.用户授权， 授权管理-应用账号-添加账号。

登录验证

• 登录IDaaS用户中心：
• 单点AWS系统：