将SAML2(外部idp)用户映射到Identity Center用户

0

【以下的问题经过翻译处理】 我与我大学的 IT 团队合作,将我的 AWS 身份中心连接到我们的 Shibboleth。在使用正确的端点上稍微有一点混淆后,我们至少从学院这边使其工作了。

我禁用了 SCIM,因为我想直接在身份中心中管理用户和组。我想这意味着当我想要给用户一些访问权限时,我手动进入身份中心,并使用与 Shibboleth 将要输出的相同用户名和电子邮件为他们创建一个用户。然后,当有人使用 SSO 登录时,身份中心将会匹配我创建的用户和 SAML2 响应,然后任何组等都将跟随。对吗?

登录部分似乎可以工作 —— Amazon 重定向我到我们的 Shibboleth 登录界面,然后将我重新导向。但从那里开始事情就出了问题:

我们无法立即完成您的请求。请稍后再试。

为了尝试解决这个问题,我启用了 CloudTrail 并得到以下信息:

"responseElements": {
    "ExternalIdPDirectoryLogin": "Failure"
},

我不确定为什么这不起作用,但首先,我是否正确理解了整个过程?

profile picture
EXPERTE
gefragt vor 10 Monaten29 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你好,

希望你过得不错。

感谢你就你的问题联系我们。

我明白你有一些关于将 SAML2(外部 idp)用户映射到 Identity Center 用户的查询。我会在下面回答这些问题:

问:当某人使用 SSO 登录时,Identity Center 会将 SAML2 响应与我创建的用户匹配,然后任何组等都会跟随。对吗?

是的,这是正确的。当您将用户添加到 IAM Identity Center 时,请确保将用户名设置为与您在 IdP 中拥有的用户名相同。至少,您必须有一个唯一的电子邮件地址和用户名。要了解更多关于手动配备的信息,请参阅 AWS 文档[1] 。

错误:“ExternalIdPDirectoryLogin”:“失败”

从这个错误我们可以看到 ExternalIDPDirectoryLogin 失败了。它可能是任何原因,比如用户名不匹配或属性映射。但是没有 SAML Assertion 我们无法对此进行评论。为了进一步排除故障,我们需要 SAML assertion 来深入研究这个问题。

因此,我要求你提出一个支持案例票,我们可以深入挖掘资源,找出实际的根本原因。

谢谢!祝你愉快!

参考:

[1] 手动配备:https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-manually.htm [2] 用户、组和配备:https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#username-email-unique [3] SAML:https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml_view-saml-response.html [4] 连接到外部身份提供者:https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-manually.html [5] 支持计划:<https://aws.amazon

profile picture
EXPERTE
beantwortet vor 10 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen