amazon-ec2 - 使用 Azure AD 提供对第三方应用程序的访问权限

请检查您是否已按照以下步骤操作以及是否遗漏了任何内容。

Azure AD-free 版本不支持企业应用的载入。所以我们需要升级 Azure AD。

1. 转到企业应用程序>新应用程序>非图库应用程序>为企业帐户激活（这是最低要求，也可以选择高级）>提供 AWS 应用程序名称。

2. 通过在 azure 中打开应用程序转到单点登录 > 选择 SAML 选项 > 下载联合元数据 XML，如下所示。
3. 然后转到 AWS 管理控制台>>启用 AWS SSO（仅某些区域可用于启用 SSO，请检查）。
4. 选择身份来源

5. 更改身份提供者>>选择外部身份提供者>下载 AWS SSO SAML 元数据文件，以后可以在 azure 端使用。
6. 在 IdP SAML 元数据> 插入之前从 azure 下载的 azure federation 元数据文件，然后查看并确认。

7. 现在转到先前创建 aws 应用程序名称的 azure 门户>转到单点登录>上传元数据文件>选择我们之前从 aws 门户下载的文件>单击添加>然后单击基本 SAML 配置上的保存。

• 如果出现用于测试的弹出窗口，请说是测试 sso。

现在我们可以提供自动配置。当在 azure AD 中创建新用户时，它必须在 AWS SSO 中流动。我们可以让少数用户成为 AD 组的一部分，以便尝试从用户登录。

8. 现在转到 AWS 门户并单击 >启用自动预配置。复制 SCIM 端点和访问令牌。转到应用程序中的 azure 端

   配置>>在配置模式中选择自动>>然后将 SCIM 端点粘贴到租户 URL 和访问令牌中>单击测试连接并保存配置。

• 然后进行映射>选择将 AAD 用户同步到自定义应用程序 sso>保留默认设置>您可以选择所需的属性 - 在 externalID 邮件昵称旁边选择并将源属性更改为 ObjectId（选择 AD 端的唯一 ID 以在 AWS 中流动）> 还编辑邮件>将源属性更改为 userprincipalname。

I. 确保用户只有一个 phoneNumber/email 值

二、删除重复的属性。例如，如果 Azure AD 中的两个不同属性都映射到“phoneNumber____”，则如果 Azure AD 中的两个属性都有值，则会导致错误。只有一个属性映射到“phoneNumber____”属性才能解决该错误。

• 现在继续映射用户和组

• 在门户中搜索组并添加组 > 安全类型 > 指定组名称、描述和成员资格类型作为分配 > 单击创建。

• 如果需要，以相同的方式创建两个或多个组，然后这些组将填充特定组的特定用户。现在创建几个用户。为此在门户中搜索用户>新用户>给出名称>将用户添加到创建的组之一并分配。

• 创建用户和群组后，进入企业应用中的用户和群组（建议选择群组而不是个人，然后删除不需要的用户）

• 返回配置并将配置状态设置为开启。现在通过授予权限集来映射 AD 组以访问某些 AWS 账户。

• 转到权限集并选择组或用户。您可以授予现有工作功能访问权限，也可以创建自定义策略。

• 现在转到 AWS 门户中的设置，复制 url 并打开重定向到登录的 url 页面。根据给定的权限，为用户提供凭据和访问权限是可能的。