設定客戶管理的 SAML 2.0 應用程式 - AWS IAM Identity Center
應用目錄設定您自己的 SAML 2.0 應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定客戶管理的 SAML 2.0 應用程式

如果您使用支援 SAML2.0 的客戶管理應用程式,您可以透過 SAML 2.0 將 IdP 聯合至IAM身分識別中心,並使用 Identity Center 來管理使用IAM者對這些應用程式的存取權限。您可以從 IAM Identity Center 主控台中的常用應用程式目錄中選取 SAML 2.0 應用程式,也可以設定自己的 SAML 2.0 應用程式。

注意

如果您有支援 OAuth 2.0 的客戶管理應用程式,而您的使用者需要從這些應用程式存取 AWS 服務,則可以使用受信任的身分傳播。透過受信任的身分傳播,使用者可以登入應用程式,而且該應用程式可以在要求中傳遞使用者身分,以存取 AWS 服務中的資料。如需詳細資訊,請參閱將受信任的身分傳播與客戶管理的應用

IAM身分識別中心應用程

您可以使用 IAM Identity Center 主控台中的應用程式目錄來新增許多與身分識IAM別中心搭配使用的常用 SAML 2.0 應用程式。例子包括銷售力量,盒子和 Microsoft 365。

大多數應用程式都會提供有關如何在 IAM Identity Center 和應用程式服務提供者之間設定信任的詳細資訊。在目錄中選取應用程式之後,您可以在應用程式的組態頁面中找到此資訊。設定應用程式後,您可以視需要將存取權指派給 IAM Identity Center 中的使用者或群組。

從應用程式類別目錄設定應用程式

使用此程序可在IAM身分識別中心與應用程式的服務提供者之間設定 SAML 2.0 信任關係。

在開始此程序之前,先取得服務提供者的中繼資料交換檔案,以便更有效率地設定信任。如果你沒有這個文件,你仍然可以使用這個過程來手動配置信任它。

從應用程式類別目錄新增及設定應用程式

  1. 開啟IAM身分識別中心主控台

  2. 選擇 Applications (應用程式)

  3. 選擇「客戶管理」標籤。

  4. 選擇新增應用程式

  5. 在 [選取應用程式類型] 頁面的 [設定] 偏好設定下,選擇 [我要從目錄中選取應用程式]。

  6. 在 [應用程式類別目錄] 下,開始在搜尋方塊中輸入您要新增的應用程式名稱。

  7. 當應用程式出現在搜尋結果中時,請從清單中選擇該應用程式的名稱,然後選擇 [下一步]。

  8. 在 [設定應用程式] 頁面上,[顯示名稱] 和 [說明] 欄位會預先填入應用程式的相關詳細資訊。您可以編輯此資訊。

  9. IAM身分識別中心中繼資料下,執行下列動作

    1. IAM身分識別中心中SAML繼資料檔案,選擇 [下載] 以下載身分識別提供者

    2. IAM身分識別中心憑證下,選擇下載憑證以下載身分識別提供者憑證。

    注意

    稍後當您從服務供應商的網站設定應用程式時,您將需要這些檔案。請遵循該供應商的說明執行。

  10. (選擇性) 在應用程式屬性下,您可以指定應用程式啟動URL轉送狀態工作階段持續時間。如需詳細資訊,請參閱在IAM識別中心主控台中設定應用程式特性

  11. 應用程式中繼資料下,執行下列其中一個動作

    1. 如果您有中繼資料檔案,請選擇上傳應用程式SAML中繼資料檔案。然後,選擇選擇要查找的文件並選擇元數據文件。

    2. 如果您沒有中繼資料檔案,請選擇 [手動輸入中繼資料值],然後提供 [應用程式] ACS URL 和 [用程式] SAML 對象值。

  12. 選擇提交。您將被帶到剛剛添加的應用程序的詳細信息頁面。

設定您自己的 SAML 2.0 應用程式

您可以設定自己的應用程式,以允許使用 SAML 2.0 聯合身分識別,並將其新增至IAM身分識別中心。設定您自己的 SAML 2.0 應用程式的大部分步驟都與從 IAM Identity Center 主控台中的應用程式目錄設定 SAML 2.0 應用程式相同。不過,您也必須為自己的 SAML 2.0 應用程式提供額外的SAML屬性對應。這些對應可讓IAM身分識別中心正確填入應用程式的 SAML 2.0 宣告。您可以在第一次設定應用程式時提供此額外的SAML屬性對應。您也可以在 IAM Identity Center 主控台的應用程式詳細資料頁面上提供 SAML 2.0 屬性對應。

請使用下列程序,在 IAM Identity Center 與 SAML 2.0 應用程式的服務提供者之間設定 SAML 2.0 信任關係。開始此程序前,請確定您具有服務供應商的憑證和中繼資料交換檔案,以便完成信任的設定。

若要設定您自己的 SAML 2.0 應用程式

  1. 開啟IAM身分識別中心主控台

  2. 選擇 Applications (應用程式)

  3. 選擇「客戶管理」標籤。

  4. 選擇新增應用程式

  5. 在 [選取應用程式類型] 頁面的 [設定] 偏好設定下,選擇 [我有要設定的應用程式]。

  6. 在「應用程式類型」下,選擇 SAML2.0

  7. 選擇 Next (下一步)

  8. 在 [設定應用程式] 頁面的 [設定應用程式] 下,輸入應用程式的顯示名稱,例如MyApp。然後,輸入「描」。

  9. IAM身分識別中心中繼資料下,執行下列動作

    1. IAM身分識別中心中SAML繼資料檔案,選擇 [下載] 以下載身分識別提供者

    2. IAM身分識別中心憑證下,選擇下載以下載身分識別提供者憑證。

    注意

    稍後在您從服務供應商的網站設定自訂應用程式時,將需要這些檔案。

  10. (選擇性) 在應用程式屬性下,您也可以指定應用程式啟動URL轉送狀態工作階段持續時間。如需詳細資訊,請參閱在IAM識別中心主控台中設定應用程式特性

  11. 在 [應用程式中繼資料] 下方,選擇 [手動輸入您的 然後提供「應用程式」ACS URL 和「應用程式」SAML 對象值。

  12. 選擇提交。您將被帶到剛剛添加的應用程序的詳細信息頁面。