我们正在尝试使用Azure Active Directory作为Amazon AWS控制台的身份提供者,但是我们失败得很惨!
我们在Azure中尝试了"Amazon Web Services (AWS)"one_answers"AWS Console"应用程序,但是当有人试图使用其中一个应用程序访问AWS时,它们都会产生以下错误:
"您的请求未包含SAML响应"
我们按照以下文章中的步骤在AWS中创建身份提供者:http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0
我们使用以下URL上传AWS中身份提供者的元数据:https://login.windows.net//FederationMetadata/2007-06/FederationMetadata.xml
当我们在Azure AD中配置应用程序时,我们使用以下URL:https://signin.aws.amazon.com/saml
使用Fiddler我们可以看到没有任何内容被发送到Amazon端点URL,浏览器只是被重定向到那里而没有发送任何内容。
有没有人设法让这个工作,我们正在努力看看我们错过了什么,所以任何帮助/建议将非常感激。
编辑:我们还使用了Firefox的SAML跟踪器附加组件来解决这个问题,它显示根本没有发布任何内容。有一个到account.activedirectory.windowsazure.com的GET请求,随后是另一个到signin.aws.amazon.com
可以通过从Azure AD到AWS控制台的SAML联合设置SSO。以下是这些步骤的总结:
- 在Azure AD中创建企业应用程序。搜索"Amazon Web Services (AWS)",从列表中选择它,但要确保给它一个你自己选择的唯一名称。
- 转到单点登录刀片并启用SAML联合。使用相应的AAD值添加两个AWS所需的SAML属性(Role和RoleSessionName)。
- 从同一页面下载SAML证书
- 确保标识符字段不是空的,最后保存更改。
- 在AWS端,您需要使用之前下载的SAML证书在IAM中创建一个身份提供者。
- 使用上一步中的身份提供者创建角色。
- 最后您必须创建从AAD组到AWS角色的映射。有两种方法可以做到这一点:
1-使用自动配置。此方法限制您将所有AWS角色放在单个AWS帐户中。此外,您需要在AWS中创建一个对IAM具有读权限的用户,然后为其分配编程密钥。然后,您必须在AAD中输入这些密钥。我不推荐这种方法。
2-你可以去AAD的App Registrations页面,用你的映射修改你的应用程序清单JSON。这允许您创建到Azure AD组的无限帐户/角色组合的映射。此外,您不需要在AWS中创建任何用户。
物品快乐!