将SAML2(外部idp)用户映射到Identity Center用户
【以下的问题经过翻译处理】 我与我大学的 IT 团队合作,将我的 AWS 身份中心连接到我们的 Shibboleth。在使用正确的端点上稍微有一点混淆后,我们至少从学院这边使其工作了。
我禁用了 SCIM,因为我想直接在身份中心中管理用户和组。我想这意味着当我想要给用户一些访问权限时,我手动进入身份中心,并使用与 Shibboleth 将要输出的相同用户名和电子邮件为他们创建一个用户。然后,当有人使用 SSO 登录时,身份中心将会匹配我创建的用户和 SAML2 响应,然后任何组等都将跟随。对吗?
登录部分似乎可以工作 —— Amazon 重定向我到我们的 Shibboleth 登录界面,然后将我重新导向。但从那里开始事情就出了问题:
我们无法立即完成您的请求。请稍后再试。
为了尝试解决这个问题,我启用了 CloudTrail 并得到以下信息:
"responseElements": {
"ExternalIdPDirectoryLogin": "Failure"
},
我不确定为什么这不起作用,但首先,我是否正确理解了整个过程?
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 你好,
希望你过得不错。
感谢你就你的问题联系我们。
我明白你有一些关于将 SAML2(外部 idp)用户映射到 Identity Center 用户的查询。我会在下面回答这些问题:
问:当某人使用 SSO 登录时,Identity Center 会将 SAML2 响应与我创建的用户匹配,然后任何组等都会跟随。对吗?
是的,这是正确的。当您将用户添加到 IAM Identity Center 时,请确保将用户名设置为与您在 IdP 中拥有的用户名相同。至少,您必须有一个唯一的电子邮件地址和用户名。要了解更多关于手动配备的信息,请参阅 AWS 文档[1] 。
错误:“ExternalIdPDirectoryLogin”:“失败”
从这个错误我们可以看到 ExternalIDPDirectoryLogin 失败了。它可能是任何原因,比如用户名不匹配或属性映射。但是没有 SAML Assertion 我们无法对此进行评论。为了进一步排除故障,我们需要 SAML assertion 来深入研究这个问题。
因此,我要求你提出一个支持案例票,我们可以深入挖掘资源,找出实际的根本原因。
谢谢!祝你愉快!
参考:
[1] 手动配备:https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-manually.htm [2] 用户、组和配备:https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#username-email-unique [3] SAML:https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml_view-saml-response.html [4] 连接到外部身份提供者:https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-manually.html [5] 支持计划:<https://aws.amazon
相关内容
AWS 官方已更新 2 年前