Azure AD 与 AWS IAM 集成实现SSO—下（AWS部分）

Azure AD 与 AWS IAM 集成实现SSO—下（AWS部分）

再回顾一下架构，我们都要做什么，别乱：

看来在AWS上做的工作要多一些。

登录AWS控制台：

在配置提供程序中，选择SAML，提供商名称自定义，比如WAAD，将刚才下载的元数据文档XML，导入到进去。

然后我们创建策略，目的是通过AAD中的用户（我们以John为例），他可以在AWS上执行什么操作，给他什么权限：

为了测试，我们只赋予它ListRoles的权限，如下图：也就是这个用户通过SSO登录到AWS上，只能查看AWS role的权限，其他的什么都做不了。

把下面JSON字符串COPY进去就可以。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" } ] }

记住AK/SK，在 Azure AD 用户预配部分输入这些凭据，以便从 AWS 控制台提取角色。

我们回到Azure AD在 Amazon Web Services (AWS) 应用中配置角色预配，在clientsecret和密钥标记中分别填入：AK/SK信息。

测试通过后保存：

在“设置”部分，为“预配状态”选择“打开”。 再选择“保存” 。如果报错或保存失败，可以返回到Amazon Web Services（AWS）预配中，启动开始预配。

回到添加分配用户，可以将我们在AWS上创建的role分配给在AAD创建的user了。我们也可以添加更多已有的客户关联到这个角色上。

当Azure和AWS都配置和同步完活动目录信息后，剩下就是要测试单点登录，测试的方法就是登录一个SSO平台，然后通过登录AzureAD中的用户，可以直接跳转到AWS平台上并拥有我们赋予他AWS上的资源操作权限。我们通过浏览器的方式（多平台兼容）如下：

浏览器扩展插件，我以Chrome举例，如果你使用其他的浏览器或移动设备（iOS或Android）请参考：添加扩展程序My Apps Secure Sign-in Extension

登录我们创建的User John，选择Amazon Web Service（AWS）应用：

验证权限：我只给John 查看IAM role的权限，其他的都不能做。

参考文档：

视频课程：https://edu./sd/59552

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。