设置客户托管的 SAML 2.0 应用程序 - AWS IAM Identity Center
应用程序目录设置你自己的 SAML 2.0 应用程序

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置客户托管的 SAML 2.0 应用程序

如果您使用支持 SAML2.0 的客户托管应用程序,则可以SAML通过 2.0 将您的 IdP 联合IAM到 Identity Center,并IAM使用 Identity Center 来管理用户对这些应用程序的访问权限。您可以从 Ident IAM ity Center 控制台的常用应用程序目录中选择 SAML 2.0 应用程序,也可以设置自己的 SAML 2.0 应用程序。

注意

如果您有支持 OAuth 2.0 的客户托管应用程序,并且您的用户需要从这些应用程序访问 AWS 服务,则可以使用可信身份传播。通过可信身份传播,用户可以登录应用程序,该应用程序可以在请求中传递用户的身份,以访问 AWS 服务中的数据。有关更多信息,请参阅 对客户托管的应用程序使用可信身份传播

IAM身份中心应用程序目录

您可以使用 Ident IAM ity Center 控制台中的应用程序目录来添加许多与 Ident IAM ity Center 配合使用的常用 SAML 2.0 应用程序。例如,其中包括 Salesforce、Box 和 Microsoft 365。

大多数应用程序都提供有关如何在 Ident IAM ity Center 和应用程序的服务提供商之间建立信任的详细信息。在目录中选择应用程序后,您可在应用程序的配置页面中找到此信息。配置应用程序后,您可以根据需要在 Ident IAM ity Center 中为用户或组分配访问权限。

设置应用程序目录中的应用程序

使用此过程在 Ident IAM ity Center 和您的应用程序的服务提供商之间建立 SAML 2.0 信任关系。

开始执行此过程之前,获得服务提供商的元数据交换文件将很有帮助,这样可以让您更有效地设置信任。如果您没有此文件,仍可以使用此过程手动配置信任。

要添加并配置应用程序目录中的应用程序

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我想从目录中选择应用程序

  6. 应用程序目录下,开始在搜索框中键入要添加的应用程序名称。

  7. 当应用程序出现在搜索结果中时,从列表中选择该应用程序的名称,然后选择下一步

  8. 配置应用程序页面,显示名称描述字段会预先填充应用程序的相关详细信息。您可以编辑这些信息。

  9. 在 “IAM身份中心元数据” 下,执行以下操作:

    1. 在 Id ent IAM ity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. 在 “IAM身份中心证书” 下,选择下载证书以下载身份提供者证书。

    注意

    稍后通过服务提供商的网站设置应用程序时,您会用到这些文件。按照该提供商的说明进行操作。

  10. (可选)在 “应用程序属性” 下,您可以指定应用程序启动URL中继状态会话持续时间。有关更多信息,请参阅 在 Ident IAM ity Center 控制台中配置应用程序属性

  11. 应用程序元数据下,执行以下操作之一:

    1. 如果您有元数据文件,请选择上传应用程序SAML元数据文件。然后,选择选择文件以查找并选择元数据文件。

    2. 如果您没有元数据文件,请选择手动键入元数据值,然后提供应用程序ACSURL和应用程序SAML受众群体值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

设置你自己的 SAML 2.0 应用程序

您可以设置自己的允许使用 SAML 2.0 进行身份联合的应用程序,然后将其添加到 Ident IAM ity Center。设置自己的 SAML 2.0 应用程序的大部分步骤与在 Ident IAM ity Center 控制台的应用程序目录中设置 SAML 2.0 应用程序相同。但是,您还必须为自己的 SAML 2.0 应用程序提供其他SAML属性映射。这些映射使 IAM Identity Center 能够为您的应用程序正确填充 SAML 2.0 断言。首次设置应用程序时,可以提供此附加SAML属性映射。您还可以在 Ident IAM ity Center 控制台的应用程序详细信息页面上提供 SAML 2.0 属性映射。

使用以下步骤在 Ident IAM ity Center 和 SAML 2.0 应用程序的服务提供商之间建立 SAML 2.0 信任关系。开始执行此过程之前,请确保您拥有服务提供商的证书和元数据交换文件,以便您完成信任的设置。

要设置自己的 SAML 2.0 应用程序

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序

  6. 在 “应用程序类型” 下,选择 SAML2.0

  7. 选择下一步

  8. 配置应用程序页面上的配置应用程序下,输入应用程序的显示名称,例如 MyApp。然后,输入描述

  9. 在 “IAM身份中心元数据” 下,执行以下操作:

    1. 在 Id ent IAM ity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. 在 “IAM身份中心证书” 下,选择 “下载” 以下载身份提供者证书。

    注意

    稍后在您通过服务提供商的网站设置自定义应用程序时,您会用到这些文件。

  10. (可选)在 “应用程序属性” 下,您还可以指定应用程序启动URL中继状态会话持续时间。有关更多信息,请参阅 在 Ident IAM ity Center 控制台中配置应用程序属性

  11. 应用程序元数据下,选择手动键入您的元数据值。然后,提供应用程序ACSURL和应用程序SAML受众群体值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。