amazon-ec2 - 使用 Azure AD 提供对第三方应用程序的访问权限
问题描述
我在 AWS EC2 实例上安装了第三方应用程序。要求是当用户单击此应用程序的 Web url 时,应使用组织的 Azure AD 对用户进行身份验证。由于它是第三方应用程序,我无法在代码中将 Azure AD 与其集成。欢迎任何关于如何实现它的建议。我正在尝试 AWS cognito 服务,但到目前为止它没有用。
解决方案
请检查您是否已按照以下步骤操作以及是否遗漏了任何内容。
Azure AD-free 版本不支持企业应用的载入。所以我们需要升级 Azure AD。
- 转到企业应用程序>新应用程序>非图库应用程序>为企业帐户激活(这是最低要求,也可以选择高级)>提供 AWS 应用程序名称。
- 通过在 azure 中打开应用程序转到单点登录 > 选择 SAML 选项 > 下载联合元数据 XML,如下所示。
- 然后转到 AWS 管理控制台>>启用 AWS SSO(仅某些区域可用于启用 SSO,请检查)。
- 选择身份来源
- 更改身份提供者>>选择外部身份提供者>下载 AWS SSO SAML 元数据文件,以后可以在 azure 端使用。
- 在 IdP SAML 元数据> 插入之前从 azure 下载的 azure federation 元数据文件,然后查看并确认。
- 现在转到先前创建 aws 应用程序名称的 azure 门户>转到单点登录>上传元数据文件>选择我们之前从 aws 门户下载的文件>单击添加>然后单击基本 SAML 配置上的保存。
- 如果出现用于测试的弹出窗口,请说是测试 sso。
现在我们可以提供自动配置。当在 azure AD 中创建新用户时,它必须在 AWS SSO 中流动。我们可以让少数用户成为 AD 组的一部分,以便尝试从用户登录。
- 现在转到 AWS 门户并单击 >启用自动预配置。复制 SCIM 端点和访问令牌。转到应用程序中的 azure 端
配置>>在配置模式中选择自动>>然后将 SCIM 端点粘贴到租户 URL 和访问令牌中>单击测试连接并保存配置。
- 然后进行映射>选择将 AAD 用户同步到自定义应用程序 sso>保留默认设置>您可以选择所需的属性 - 在 externalID 邮件昵称旁边选择并将源属性更改为 ObjectId(选择 AD 端的唯一 ID 以在 AWS 中流动)> 还编辑邮件>将源属性更改为 userprincipalname。
I. 确保用户只有一个 phoneNumber/email 值
二、删除重复的属性。例如,如果 Azure AD 中的两个不同属性都映射到“phoneNumber____”,则如果 Azure AD 中的两个属性都有值,则会导致错误。只有一个属性映射到“phoneNumber____”属性才能解决该错误。
推荐阅读
- java - 在 Java 中使用哈希映射来查找字符串中字符的频率
- ruby-on-rails - Rails 5 显示当前用户联系人
- angular - 订阅未完成后 NgRx 存储选择
- amazon-web-services - 创建具有相同名称的 ekscluster 时出错
- reactjs - 当 redux 状态改变时不要更新路由组件
- c - 如何在 URL 和 C 代码之间建立联系?
- r - 使用 papaja 将图形编织成单词失败
- css - 如何在 Gmail 的响应式电子邮件中使用 @media(首选颜色方案)?
- swift - CallKit :- Callkit 正在工作,但被叫方未接听电话
- authentication - 有没有办法使用带有匿名访问的 Spring Security 获取非空委托人/身份验证?