在场所使用Microsoft Active Directory的Amazon SSO

时间:2017-11-14 21:50:18

标签: azure active-directory single-sign-on amazon

我需要为组织中的不同应用程序设计SSO解决方案。当前的身份提供商是AD内部部署。这就是我所拥有的

  1. 不同的微服务托管在多个AWS EC2
  2. 使用Angular2实现的前端应用程序
  3. 身份验证服务:根据身份提供程序验证用户凭据并生成jwt
  4. 授权服务:检查用户权限
  5. 这是必需的行为:

    1. 验证服务负责检查是否 凭证对AD有效,然后发出JWT。
    2. 授权服务负责检查用户是否具有访问特定资源(另一个微服务或查看页面)所需的权限。
    3. 如果我使用Azure,我会执行以下操作:

      1. " Azure AD Connect"在房屋和房屋的AD之间同步用户" Azure AD"
      2. " Azure AD"将作为身份提供者
      3. 当用户登录其中一个应用程序时,Azure AD将验证用户的身份并向他发送JWT
      4. JWT将用于检查用户权限并随后调用其他微服务
      5. 我应该使用哪种类型的服务让亚马逊生成JWT?

1 个答案:

答案 0 :(得分:0)

Amazon的合理选择是Cognito Federated Identities,它通过SAML集成支持Active Directory,特别是ADFS,作为身份提供者。身份验证后,Cognito会返回一个JWT令牌,然后将其换成Amazon凭据(授权)。

Amazon Cognito Federated Identities