我使用SAML登录连接到AWS,AzureAD是我的IdP。这一切都很好,我可以在浏览器中使用SAML响应来生成一个临时会话令牌,这让我有一个小时的时间在AWS CLI中工作。然而,根据这个博客,我应该能够使用AWS Tools for Windows PowerShell来捕获SAML响应,但我得到的只是一个错误Unable to set credentials: Root element is missing。我所有的谷歌搜索都会导致证书即将过期或使用旧版本的Powershell模块(我使用的是截至本文撰写之时的最新版本:v4.1.13.0(或Powershell本身(我使用7.1.3(时可能出现的瞬态问题。
有人成功地将AWS Tools for Windows PowerShell作为IdP与AzureAD一起使用吗?
我发现了这篇最近的帖子,其中有关于这种设置的更多信息,关于如何配置它的一些细节,以及关于它可能无法工作的原因的说明(截至2020年1月(
尝试使用AWSPowerShell命令Use-STSRoleWithSAML(AWS文档(生成一些临时凭据。文档页面详细介绍了您的Idp和IAM所需的内容,包括相关IAM指南的链接。例如:
# Returns a set of temporary security credentials
Use-STSRoleWithSAML `
-RoleArn 'arn:aws:iam::ACCOUNTNUMBER:role/IAMROLE' `
-PrincipalArn 'arn:aws:iam::ACCOUNTNUMBER:saml-provider/SAMLPROVIDER' `
-SAMLAssertion 'BASE64ENCODEDRESPONSE' `
-DurationInSeconds 3600