设置对应用程序的单点登录访问权限 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置对应用程序的单点登录访问权限

IAM身份中心支持两种应用程序类型: AWS 托管应用程序客户管理的应用程序

AWS 托管应用程序可以直接从相关的应用程序控制台中进行配置,也可以通过应用程序进行配置APIs。

必须将客户托管的应用程序添加到 Ident IAM ity Center 控制台,并使用IAM身份中心和服务提供商的相应元数据进行配置。您可以从支持 SAML 2.0 的常用应用程序目录中进行选择,也可以设置自己的 SAML 2.0 应用程序或 OAuth 2.0 应用程序。

设置对应用程序的单点登录访问权限的配置步骤因应用程序类型而异。

AWS 诸如 Amazon Managed Grafana 和 Amazon Monitron 之类的托管应用程序与身份中心集成。IAM要设置 AWS 托管应用程序要与 Ident IAM ity Center 配合使用,必须直接从控制台为适用的服务配置应用程序,或者必须使用该应用程序APIs。

您可以从 Ident IAM ity Center 控制台的常用应用程序目录中选择 SAML 2.0 应用程序。使用此过程在 Ident IAM ity Center 和您的应用程序的服务提供商之间建立 SAML 2.0 信任关系。

要设置应用程序目录中的应用程序

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我想从目录中选择应用程序

  6. 应用程序目录下,开始在搜索框中键入要添加的应用程序名称。

  7. 当应用程序出现在搜索结果中时,从列表中选择该应用程序的名称,然后选择下一步

  8. 配置应用程序页面,显示名称描述字段会预先填充应用程序的相关详细信息。您可以编辑这些信息。

  9. 在 “IAM身份中心元数据” 下,执行以下操作:

    1. 在 Id ent IAM ity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. 在 “IAM身份中心证书” 下,选择下载证书以下载身份提供者证书。

    注意

    稍后通过服务提供商的网站设置应用程序时,您会用到这些文件。按照该提供商的说明进行操作。

  10. (可选)在 “应用程序属性” 下,您可以指定应用程序启动URL中继状态会话持续时间。有关更多信息,请参阅 了解IAM身份中心控制台中的应用程序属性

  11. 应用程序元数据下,执行以下操作之一:

    1. 如果您有元数据文件,请选择上传应用程序SAML元数据文件。然后,选择选择文件以查找并选择元数据文件。

    2. 如果您没有元数据文件,请选择手动键入元数据值,然后提供应用程序ACSURL和应用程序SAML受众群体值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

使用此过程在 Ident IAM ity Center 和您自己的 SAML 2.0 应用程序的服务提供商之间建立您自己的 SAML 2.0 信任关系。开始执行此过程之前,请确保您拥有服务提供商的证书和元数据交换文件,以便您完成信任的设置。

要设置自己的 SAML 2.0 应用程序

  1. 打开IAM身份中心控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序

  6. 在 “应用程序类型” 下,选择 SAML2.0

  7. 选择下一步

  8. 配置应用程序页面上的配置应用程序下,输入应用程序的显示名称,例如 MyApp。然后,输入描述

  9. 在 “IAM身份中心元数据” 下,执行以下操作:

    1. 在 Id ent IAM ity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. 在 “IAM身份中心证书” 下,选择 “下载” 以下载身份提供者证书。

    注意

    稍后在您通过服务提供商的网站设置自定义应用程序时,您会用到这些文件。

  10. (可选)在 “应用程序属性” 下,您还可以指定应用程序启动URL中继状态会话持续时间。有关更多信息,请参阅 了解IAM身份中心控制台中的应用程序属性

  11. 应用程序元数据下,选择手动键入您的元数据值。然后,提供应用程序ACSURL和应用程序SAML受众群体值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

设置完应用程序后,您的用户可以从其内部访问您的应用程序 AWS 根据您分配的权限访问门户。

如果您有支持 OAuth 2.0 的客户托管应用程序,并且您的用户需要从这些应用程序访问到 AWS 服务,您可以使用可信身份传播。通过可信身份传播,用户可以登录应用程序,并且该应用程序可以在请求中传递用户的身份以访问数据 AWS 服务的支持。有关更多信息,请参阅 对客户托管的应用程序使用可信身份传播

有关支持的应用程序类型的更多信息,请参阅应用程序访问权限