一、配置AWS IAM控制台
- 访问
https://{portal_host}:{portal_port}/api/idp/metadata
,其中{portal_host}:{portal_port}
请替换为飞连管理后台的域名/IP和端口,保存网页内容为.xml
格式的元数据文件到本地。
在AWS IAM控制台添加身份提供商
- 选择「提供商类型」为 SAML,填写提供商名称,并上传【步骤1】中下载的元数据文件。
- 创建完成后,保存详情页面 ARN 记录为 IAM ARN。
- 选择「分配角色」-「创建新的角色」,然后点击「下一步」。
- 选择「SAML 2.0 身份联合」,选择下方的【SAML 提供商】为刚刚创建的身份提供商,选择允许编程访问和 AWS 管理控制台访问,然后点击「下一步」。
- 赋予角色权限,本文选择最高权限 AdministratorAccess,然后点击「下一步」。
- 进入刚刚创建的角色详情页面,保存 ARN 记录为 Role ARN,并选择「信任关系」,保存下方Json中的 SAML:aud 的值,为 单点登录地址。
二、在飞连后台创建应用
应用模板-创建AWS应用
- 进入飞连管理后台
- 选择「应用管理」- 「应用列表」,点击添加应用
- 填写基本信息「应用名称(必填)」,「应用地址」,「应用描述」
- 填写应用功能
- 填写AWS 唯一标识 为任意标识值。(必填)
- 应用网关(非必填,勾选开启,默认不开启)
- 最后点击确定
三、在飞连中创建角色& 添加应用授权
创建角色
- 进入飞连管理后台
- 选择「身份管理」-「角色管理」,点击「自定义新建」。
- 输入角色名的内容为,Role ARN,IAM ARN,两个字符串中间用英文逗号分隔。
arn:aws:iam::{用户ID}:role/{AWS中的角色名称},arn:aws:iam::{用户ID}:saml-provider/{AWS中的身份提供商名称}
- 点击「添加成员」,选择有权限拥有此角色的用户,点击确认。
添加应用授权
- 进入飞连管理后台
- 选择「应用管理」- 「应用列表」,点击「刚刚创建的应用」
- 选择应用授权,点击添加角色,选择刚刚创建的角色,点击确认
配置完成-单点登录AWS
- 进入飞连门户页面,点击刚刚创建的应用,即可跳转到AWS
FAQ
1、登录报错“Error: Your request included an invalid SAML response. to logout, click here.”
请按以下顺序进行排查,如若仍然报错,请联系飞连。
- 确保登录用户在飞连中拥有对应的角色权限。
- 确保配置应用关联了对应的角色。
- 确保登录用户在飞连中的邮箱和在AWS中的邮箱相同。
2、如何配置AWS最大会话持续时间(不配置AWS默认一小时)。
AWS 登录有效期配置
- 进入飞连管理后台
- 选择「身份管理」-「账号配置」-「扩展属性」,点击【添加字段】。
- 其中【字段KEY】和【字段名称】为在「组织架构」中显示的字段,保证不重复即可。
- 【字段类型】选择 表达式。
- 【字段值】填写 '43200' ,格式为英文单引号包裹的数字,范围为900 秒 (15 分钟) 到 43200 秒 (12 小时)最终生效和aws配置取最小值。
- 选择「应用管理」- 「应用列表」,点击「刚刚创建的应用」,点击「单点登录」。
- 点击添加字段,添加一条关系映射,并点击保存。(可参考上述第5步,「添加属性映射」)
- 飞连用户属性选择【刚刚创建的字段名称】,应用用户属性添加字段为
https://aws.amazon.com/SAML/Attributes/SessionDuration
。
- 点击「编辑」,配置需要的最大会话持续时间,之后点击【保存更改】。