Architecture of SAML-Enabled Single Sign-On and Fine-Grained Access Control - Amazon EMR
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Architecture of SAML-Enabled Single Sign-On and Fine-Grained Access Control

下图说明了使用 Lake Formation 和 Amazon EMR 的启用 SAML 的单点登录和精细访问控制的架构。

  1. 未经身份验证的用户使用代理程序来访问 EMR 笔记本或 Zeppelin。系统将该用户重定向到组织的身份提供程序 (IdP) 登录页面。

  2. IdP 可验证您的组织用户的身份。

  3. IdP 生成一个 SAML 身份验证响应,其中包括识别用户身份的断言以及用户的相关属性。

  4. 客户端浏览器将 SAML 断言发布到代理程序。

  5. 代理程序代表用户从 AWS Lake Formation 请求特定于用户的临时安全凭证。临时安全凭证发送回代理程序。

  6. 代理程序在密钥代理中存储用户特定的临时安全凭证。密钥代理将临时用户凭证发送到核心和任务节点中的密钥代理。

  7. 代理程序实现了成功的用户登录。

  8. 当用户使用 EMR 笔记本或 Zeppelin 运行 Spark 作业时,记录服务器会调用密钥代理以获取临时用户凭证。

  9. 记录服务器根据在 Lake Formation 中定义的策略,从 Amazon S3 读取并筛选数据。

从用户的角度来看,整个过程以透明的方式进行。该用户通过浏览器,从组织的身份验证页面开始操作,最后结束于 EMR 笔记本或 Zeppelin,而完全不需要提供任何 AWS 凭证。