启用 SAML 的单点登录和精细访问控制的架构 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

启用 SAML 的单点登录和精细访问控制的架构

下图说明了使用 Lake Formation 和 Amazon EMR 的启用 SAML 的单点登录和精细访问控制的架构。

  1. 未经身份验证的用户使用代理程序来访问 EMR Notebooks 或 Zeppelin。系统将该用户重定向到组织的身份提供商(IdP)登录页面。

  2. IdP 可验证您的组织用户的身份。

  3. IdP 生成一个 SAML 身份验证响应,其中包括识别用户身份的断言以及用户的相关属性。

  4. 客户端浏览器将 SAML 断言发布到代理程序。

  5. 代理程序代表用户从 Amazon Lake Formation 请求特定于用户的临时安全凭证。临时安全凭证发送回代理程序。

  6. 代理程序在密钥代理中存储用户特定的临时安全凭证。密钥代理将临时用户凭证发送到核心和任务节点中的密钥代理。

  7. 代理程序实现了成功的用户登录。

  8. 当用户使用 EMR Notebooks 或 Zeppelin 运行 Spark 任务时,记录服务器会调用私有代理来获取临时用户凭证。

  9. 记录服务器根据在 Lake Formation 中定义的策略,从 Amazon S3 读取并筛选数据。

从用户的角度来看,整个过程以透明的方式进行。该用户通过浏览器,从组织的身份验证页面开始操作,最后结束于 EMR Notebooks 或 Zeppelin,而完全不需要提供任何Amazon凭证。