目前,我的网络应用程序与Amazon Cognito绑定,并对直接存储在Amazon IAM中的用户进行验证。
我需要扩展它以支持验证第三方的Azure AD(并且希望不必将所有用户导入Cognito,因为这可能是不可行的)。目前,我一直在探索并发现我可以add the Azure AD as a federated IdP,但似乎需要在AWS和AD中设置用户并根据教程进行映射,但Jaffadog的评论指出:
“很好的教程。但是,它错误地暗示你需要 在AWS中创建或配置帐户以进行联合登录 工作 - 这是错误的。使用SAML联合登录登录AWS时, 用户仅假定SAM角色中存在AWS角色。没有 登录前需要AWS IAM用户帐户,且不得使用 因登录而创建。“
如果我想将Azure AD用户保留在Azure中,并将我的AWS用户保留在AWS中,此解决方案是否有效?有关用户配置如何在AWS和AD之间起作用的信息存在冲突。
否则,如果不是我唯一的其他解决方案来托管我自己的SAML服务(使用像SimpleSAML这样的东西)?
答案 0 :(得分:2)
是的,建议使用ADFS进行单点登录Active Directory和Amazon Management Console。您特别提到我尚未亲自测试的Azure AD。
[新问题后编辑]
AWS使用以“AWS-”开头的组名来分配权限。这意味着您必须在Active Directory端创建组并将用户添加到组中。然后,您需要为每个AD组创建IAM角色。 IAM不会从AD导入用户,只是将AD组映射到IAM角色。
本文将引导您使用Active Directory设置所有内容。
Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0
以下是一些专门介绍Azure AD和AWS的文章:
AWS Best Practice: Azure AD SAML Authentication Configuration for AWS Console