设置对应用程序的单点登录访问权限 - AWS IAM Identity Center

设置对应用程序的单点登录访问权限

IAM Identity Center 支持两种应用程序类型:AWS 托管的应用程序客户托管的应用程序

AWS 托管的应用程序可以直接通过相关的应用程序控制台配置,也可以通过应用程序 API 进行配置。

客户托管的应用程序必须添加到 IAM Identity Center 控制台,并为 IAM Identity Center 和服务提供商配置合适的元数据。您可以从支持 SAML 2.0 的常用应用程序目录中进行选择,也可以设置自己的 SAML 2.0 应用程序或 OAuth 2.0 应用程序。

设置对应用程序的单点登录访问权限的配置步骤因应用程序类型而异。

Amazon Managed Grafana 和 Amazon Monitron 等 AWS 托管应用程序与 IAM Identity Center 集成。要将 AWS 托管的应用程序设置为与 IAM Identity Center 配合使用,您必须直接通过控制台为应用程序配置合适的服务,或者使用应用程序 API。

您可以在 IAM Identity Center 控制台中从常用应用程序目录中选择一个 SAML 2.0 应用程序。请使用此过程在 IAM Identity Center 和应用程序的服务提供商之间设置 SAML 2.0 信任关系。

要设置应用程序目录中的应用程序

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我想从目录中选择应用程序

  6. 应用程序目录下,开始在搜索框中键入要添加的应用程序名称。

  7. 当应用程序出现在搜索结果中时,从列表中选择该应用程序的名称,然后选择下一步

  8. 配置应用程序页面,显示名称描述字段会预先填充应用程序的相关详细信息。您可以编辑这些信息。

  9. IAM Identity Center 元数据下,执行以下操作:

    1. IAM Identity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. IAM Identity Center 证书下,选择下载证书以下载身份提供商证书。

    注意

    稍后通过服务提供商的网站设置应用程序时,您会用到这些文件。按照该提供商的说明进行操作。

  10. (可选)在应用程序属性下,您可以指定应用程序启动 URL中继状态会话持续时间。有关更多信息,请参阅 了解 IAM Identity Center 控制台中的应用程序属性

  11. 应用程序元数据下,执行以下操作之一:

    1. 如果您有元数据文件,请选择上传应用程序 SAML 元数据文件。然后,选择选择文件以查找并选择元数据文件。

    2. 如果您没有元数据文件,请选择手动键入元数据值,然后提供应用程序 ACS URL应用程序 SAML 受众值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

请使用此过程在 IAM Identity Center 和您自己的 SAML 2.0 应用程序的服务提供商之间设置 SAML 2.0 信任关系。开始执行此过程之前,请确保您拥有服务提供商的证书和元数据交换文件,以便您完成信任的设置。

要设置您自己的 SAML 2.0 应用程序

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序

  6. 应用程序类型下,选择 SAML 2.0

  7. 选择下一步

  8. 配置应用程序页面上的配置应用程序下,输入应用程序的显示名称,例如 MyApp。然后,输入描述

  9. IAM Identity Center 元数据下,执行以下操作:

    1. IAM Identity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. IAM Identity Center 证书下,选择下载,以下载身份提供商证书。

    注意

    稍后在您通过服务提供商的网站设置自定义应用程序时,您会用到这些文件。

  10. (可选)在应用程序属性下,您也可以指定应用程序启动 URL中继状态会话持续时间。有关更多信息,请参阅 了解 IAM Identity Center 控制台中的应用程序属性

  11. 应用程序元数据下,选择手动键入您的元数据值。然后,提供应用程序 ACS URL应用程序 SAML 受众值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

设置应用程序后,您的用户可以基于您分配的权限,通过其 AWS 访问门户访问您的应用程序。

如果您有客户托管的应用程序(支持 OAuth 2.0),并且您的用户需要从这些应用程序访问 AWS 服务,您可以使用可信身份传播。通过可信身份传播,用户可以登录应用程序,而该应用程序可以在请求中传递用户的身份,以访问 AWS 服务中的数据。有关更多信息,请参阅 对客户托管的应用程序使用可信身份传播

有关支持的应用程序类型的更多信息,请参阅应用程序访问