本文介绍如何在飞连管理后台使用 SAML 协议为 AWS 启用单点登录 (SSO)，实现用户通过飞连直接访问 AWS，无需输入账号和密码。

1. 登录飞连管理后台。

2. 在左侧导航栏，单击应用接入。

3. 在应用接入页面，单击右上角的应用市场。

4. 在添加新应用页面的筛选条件区域，搜索并单击 AWS 应用模板卡片。
   

5. 在所选模板卡片的右下角，单击添加应用。

6. 在填写应用信息页面，配置应用信息并单击确定。

   配置项	是否必填	说明
   应用名称	必填	自定义应用的名称。
   应用访问地址	选填	请填写 AWS 的服务地址。 说明 选填项，您可暂不配置，待后续完成 AWS 相关配置后再返回补充上应用访问地址。
   应用描述	选填	自定义应用的描述信息。
   单点登录	必填	协议类型：固定选择 SAML。 IDP Metadata：飞连 Metadata，请下载该文件，后续将用于 AWS 的相关配置。 AWS 唯一标识：AWS 应用在飞连租户内的唯一标识，自定义，保证租户内所有应用唯一。
   应用网关	选填	可选，如果当前应用开启了应用网关，则员工无需下载飞连客户端且无需连接 VPN，即可实现远程访问应用的能力。应用网关配置项说明如下： 应用域名：填写应用被代理的前端域名地址。格式示例：https://www.example.com:8080。 服务器实际地址：应用所属服务器的实际地址。可填写域名或 IP 地址以及端口。格式示例：https://www.example.com:8080、https://10.10.10.10:8080。 证书配置：若您为应用域名配置了 HTTPS 协议，则您还需要添加相应的 SSL 证书。您可以在该配置项选择添加相应的 SSL 证书。如果证书还未上传至飞连，则需要先上传证书。具体操作，请参见管理 SSL 证书。 DNS 参数：单击添加发布网关，选择关联应用的发布网关。后续员工在访问应用时，访问请求先通过应用网关，应用网关会获取请求数据，根据数据内包含的用户身份信息进行身份验证，并根据不同的员工身份权限转发请求。如果应用网关还未添加至飞连，则您需要先添加应用网关。具体操作，请参见管理应用网关。 注意 填写应用网关配置项之后，您还需要前往域名解析服务商控制台，将应用解析地址指向应用网关。操作示例，请参见应用域名解析地址指向应用网关操作示例。

   完成以上配置后，请先前往 AWS IAM 控制台进行配置（即继续下一步）。

1. 访问 AWS IAM 控制台 ，选择访问管理 > 身份提供商，单击创建提供商。
   
2. 选择提供商类型为 SAML，填写提供商名称，并在元数据文档区域上传步骤一：在飞连管理后台创建应用中保存的飞连 Metadata（即 IDP Metadata）。
   
   
3. 创建完成后，保存详情页面 ARN 记录为 IAM ARN。
   
4. 选择分配角色 > 创建新的角色，然后单击下一步。
   
5. 选择SAML 2.0 身份联合，选择下方的 SAML 提供商为刚刚创建的身份提供商，选择允许编程访问和 AWS 管理控制台访问，然后单击下一步。
   
6. 赋予角色权限，本文选择最高权限 AdministratorAccess，然后单击下一步。
   
7. 直接单击下一步。
   
8. 填写一个角色名称，然后单击创建角色。
   
9. 进入刚刚创建的角色详情页面，保存 ARN 记录为 Role ARN，并选择「信任关系」，保存下方 Json 中的 SAML:aud 的值，为 单点登录地址。
   

1. 登录飞连管理后台。

2. 在左侧导航栏，单击角色管理。单击静态角色列表底部的自定义新建。
   

3. 在添加角色页面配置相关参数。
   

   配置项	说明
   角色名称	角色名称的内容为 Role ARN,IAM ARN，两个字符串中间用英文逗号分隔。 格式如下： arn:aws:iam::{用户ID}:role/{AWS中的角色名称},arn:aws:iam::{用户ID}:saml-provider/{AWS中的身份提供商名称}
   角色类型	选择静态角色。
   角色范围	角色范围是指该角色包括哪些成员，您可以选择指定的员工或部门。

1. 登录飞连管理后台。
2. 在左侧导航栏，单击应用接入。
3. 在应用接入页面，单击刚刚创建的应用。
4. 单击应用授权页签，单击添加角色，选择刚刚创建的角色，单击确认。
   
5. （可选）在应用的基本信息页签的基础信息区域右侧，单击编辑，补充应用访问地址。
   如果您在步骤一：在飞连管理后台创建应用中未配置应用访问地址，则需进行补充。
   

进入飞连门户页面，单击刚刚创建的应用，即可跳转到AWS。

1、登录报错“Error: Your request included an invalid SAML response. to logout, click here.”

请按以下顺序进行排查，如若仍然报错，请联系飞连。

• 确保登录用户在飞连中拥有对应的角色权限。
• 确保配置应用关联了对应的角色。
• 确保登录用户在飞连中的邮箱和在AWS中的邮箱相同。

2、如何配置 AWS 最大会话持续时间（不配置 AWS 默认一小时）。

AWS 官方配置文档，请参见 AWS 登录有效期配置。

1. 进入飞连管理后台
2. 选择身份管理 > 账号配置 > 高级配置，单击添加字段。
   
   • 其中字段 Key 和字段名称为在组织架构中显示的字段，保证不重复即可。
   • 字段类型选择 表达式。
   • 表达式填写 '43200' ，格式为英文单引号包裹的数字，范围为900 秒 (15 分钟) 到 43200 秒 (12 小时)，最终生效和AWS 配置取最小值。
3. 选择应用管理 > 应用接入，单击刚刚创建的应用，单击单点登录页签。
4. 单击映射关系右侧的编辑，单击添加映射，添加一条关系映射，并单击确定。
   飞连字段选择刚刚创建的字段名称，应用字段添加字段为https://aws.amazon.com/SAML/Attributes/SessionDuration。
   
5. 访问 AWS IAM 控制台 ，选择访问管理 > 角色，单击对应飞连配置的角色。
   
6. 单击编辑，配置需要的最大会话持续时间，之后单击保存更改。
   
7. 重新通过飞连跳转到 AWS。