Skip to content
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Configuração AWS Opensearch Service com Entra ID

0

Bom dia! Estou implementando o SSO com idp do Entra ID no AWS Opensearch Service. Li as documentações e fiz os ajustes no aplicativo enterprise no Entra ID. Consigo efetuar o login, porém quando chamo a URL no navegador, efetuo o logon via SSO, ele apresenta a mensagem: {"statusCode":400,"error":"Bad Request","message":"Invalid requestId"} e fica com a URL no final /_dashboards/_opendistro/_security/saml/acs. Se eu apago o _opendistro/_security/saml/acs, eu acesso o opensearch service. No troubleshooting da AWS, fala para efetuar o processo abaixo:

"Your browser receives a HTTP 400 error with Invalid Request Id in the response.

This error generally happens if you've configured the IdP-initiated URL with the format <DashboardsURL>/_opendistro/_security/saml/acs. Instead, configure the URL with the format <DashboardsURL>/_opendistro/_security/saml/acs/idpinitiated."

Porém quando faço isso, não funciona. Fala que a URL não atende os requisitos. Gostaria de saber se tem algo que possa ser feito. Lembrando que estou usando as URLs de ajuste que foram informados no proprio opensearch. Preciso rodar algum comando no cloud shell, para que o erro seja corrigido? Grata

Tópicos
Análise
Tags
Serviço do Amazon OpenSearch
Idioma
Português
feita há 20 dias5 visualizações
2 Respostas
0

Para resolver o problema de autenticação SAML entre o AWS OpenSearch Service e o Microsoft Entra ID (anteriormente Azure AD), vou explicar o que está acontecendo e como corrigir.

O erro que você está enfrentando ocorre porque há uma incompatibilidade na configuração do fluxo de autenticação SAML. Quando você vê o erro "Invalid requestId" após o login, isso geralmente indica um problema com o fluxo de autenticação SAML entre o provedor de identidade (Entra ID) e o OpenSearch Service.

Existem dois tipos de fluxos de autenticação SAML:

  1. Service Provider-initiated (SP-initiated): iniciado pelo OpenSearch Service
  2. Identity Provider-initiated (IdP-initiated): iniciado pelo Entra ID

Pelo erro que você está enfrentando, parece que você está tentando usar um fluxo IdP-initiated, mas a configuração está incorreta.

Para corrigir este problema:

  1. No console do OpenSearch Service, verifique a configuração SAML:
  • Acesse a página de detalhes do seu domínio OpenSearch
  • Na aba "Security configuration", clique em "Edit"
  • Confirme que "Enable SAML authentication" está selecionado
  • Anote os valores de "Service provider entity ID" e "SP-initiated SSO URL"
  1. No portal do Entra ID, ajuste a configuração do aplicativo:
  • Para "Application ACS URL" (URL de Assertion Consumer Service), use o formato correto: [URL do OpenSearch Dashboards]/_dashboards/_opendistro/_security/saml/acs
  • Para "Application SAML audience" (ou Identifier), use o valor do "Service provider entity ID" que você anotou
  • Certifique-se de que o "Application start URL" esteja configurado como [URL do OpenSearch Dashboards]/_dashboards/
  1. Verifique o mapeamento de atributos no Entra ID:
  • Certifique-se de que os atributos para nome de usuário (Subject) e funções (Roles) estejam corretamente mapeados
  • O padrão para o atributo de nome de usuário é "NameID" e para funções é "roles"
  1. Após fazer essas alterações, tente acessar o OpenSearch Dashboards diretamente pela URL principal (sem adicionar nenhum caminho SAML manualmente)

Se você estiver tentando especificamente configurar o fluxo IdP-initiated, a URL correta seria [URL do OpenSearch Dashboards]/_dashboards/_opendistro/_security/saml/acs/idpinitiated, mas o fluxo SP-initiated (iniciando pelo OpenSearch) é geralmente mais recomendado e menos propenso a erros.

Lembre-se de que após fazer alterações na configuração SAML, pode ser necessário limpar o cache do navegador ou usar uma janela anônima para testar.
Sources
Single sign-on SSO for Amazon OpenSearch Service using SAML and Keycloak | AWS Big Data Blog
Build SAML identity federation for Amazon OpenSearch Service domains within a VPC | AWS Big Data Blog
Enabling SAML federation with AWS Identity and Access Management - Amazon OpenSearch Service

respondido há 20 dias
0

Os ajustes foram realizados conforme mencionado, porém mesmo assim, continuo com problema. Saliento que, quando coloco o link [URL do OpenSearch Dashboards]/_dashboards/_opendistro/_security/saml/acs/idpinitiated, o portal não aceita. Quando coloco [URL do OpenSearch Dashboards]/_dashboards/_opendistro/_security/saml/acs, ele passa pela parte de autenticação, mas apresenta o erro que mencionei {"statusCode":400,"error":"Bad Request","message":"Invalid requestId"} Então vou ate o link no navegador, removo _opendistro/_security/saml/acs e ele acessa o opensearch. Não encontrei em nenhum local qual atributo devo declaram no Aplicativo de SSO do Entra ID. Quais ajustes devo realizar no aplicativo? Devo adicionar atributos? Quais declarações? Lembrando que a forma de trabalho do EntraID é diferente do Okta, Keyclock e demais.

respondido há 20 dias

Você não está conectado. Fazer login para postar uma resposta.

Uma boa resposta responde claramente à pergunta, dá feedback construtivo e incentiva o crescimento profissional de quem perguntou.

Conteúdo relevante