本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon ParallelCluster用户界面与身份中心集成
本教程的目标是演示如何将用户Amazon ParallelCluster界面与 IAM Identity Center 集成,以实现单点登录解决方案,该解决方案可统一可与Amazon ParallelCluster集群共享的 Active Directory 中的用户。
使用 Amazon ParallelCluster 时,您只需为创建或更新 Amazon ParallelCluster 映像和集群时创建的 Amazon 资源付费。有关更多信息,请参阅Amazon 使用的服务 Amazon ParallelCluster:
先决条件:
-
现有 Amazon ParallelCluster UI,可以按照此处的说明进行安装。
-
现有的托管 Active Directory,最好也用于集成Amazon ParallelCluster。
启用 IAM Identity Center
如果您已经将身份中心连接到您的Amazon Managed Microsoft AD(Active Directory),则可以使用该身份中心,并且可以跳至将您的应用程序添加到 IAM 身份中心部分。
如果您尚未将身份中心连接到Amazon Managed Microsoft AD,请按照以下步骤进行设置。
启用身份中心
-
在控制台中,导航到 IAM 身份中心。(请确保您位于您所在的地区Amazon Managed Microsoft AD。)
-
单击 “启用” 按钮,这可能会询问您是否要启用组织,这是一项要求,因此您可以选择启用它。注意:这将向您的账户管理员发送一封确认电子邮件,您应点击链接进行确认。
将身份中心连接到托管 AD
-
在启用身份中心后的下一页上,您应该会看到建议的设置步骤,在步骤 1 下,选择选择您的身份来源。
-
在 “身份来源” 部分,单击 “操作” 下拉菜单(右上角),然后选择 “更改身份来源”。
-
选择 “活动目录”。
-
在 “现有目录” 下,选择您的目录。
-
单击下一步。
-
查看您的更改,滚动到底部,在文本框中键入 “接受” 进行确认,然后单击 “更改身份来源”。
-
等待更改完成,然后您应该会在顶部看到一个绿色横幅。
将用户和群组同步到 Identity Center
-
在绿色横幅中,单击 “启动引导式安装”(右上角的按钮)
-
在 “配置属性映射” 中,单击 “下一步”
-
在 “配置同步范围” 部分,键入要同步到身份中心的用户的姓名,然后单击 “添加”
-
添加完用户和群组后,单击 “下一步”
-
查看您的更改,然后单击 “保存配置”
-
如果您在下一个屏幕中看到有关用户未同步的警告,请选择右上角的 “恢复同步” 按钮。
-
接下来,要启用用户,请在左侧的 “用户” 选项卡中,选择一个用户,然后单击 “启用用户访问权限” > “启用用户访问权限”
注意:如果顶部有警告横幅,则可能需要选择 “恢复同步”,然后等待用户同步(尝试刷新按钮查看他们是否已同步)。
将您的应用程序添加到 IAM 身份中心
将用户与 IAM Identity Center 同步后,您需要添加新的应用程序。这将配置哪些启用 SSO 的应用程序可从您的 IAM 身份中心门户中使用。在这种情况下,我们将添加Amazon ParallelCluster用户界面作为应用程序,而 IAM Identity Center 将作为身份提供商。
下一步将Amazon ParallelCluster用户界面作为应用程序添加到 IAM 身份中心。 Amazon ParallelClusterUI 是一个 Web 门户,可帮助用户管理其集群。有关更多信息,请参阅 Amazon ParallelClusterUI。
在 Identity Center 中设置应用程序
-
在 IAM 身份中心 > 应用程序下(位于左侧菜单栏中,点击应用程序)
-
单击 “添加应用程序”
-
选择添加自定义 SAML 2.0 应用程序
-
单击 “下一步”
-
选择您要使用的显示名称和描述(例如 PC Amazon ParallelCluster UI 和 UI)
-
在 IAM Identity Center 元数据下,复制 IAM Identity Center SAML 元数据文件的链接并保存以备后用,这将在网络应用程序上配置 SSO 时使用
-
在 “应用程序属性” 下的 “应用程序起始 URL” 中,输入您的 PCUI 地址。这可以通过进入 CloudFormation 控制台,选择与 PCUI 对应的堆栈(例如 parallelcluster-ui),然后前往 “输出” 选项卡查找 uiUrl 来找到 ParallelCluster
例如 https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com
-
在应用程序元数据下,选择手动键入您的元数据值。然后提供以下值。
-
重要提示:请务必将域前缀、区域和 userpool-id 值替换为特定于您的环境的信息。
-
可以通过打开 Amazon Cognito > 用户池控制台来获取域名前缀、区域和用户池 ID
-
选择与 PCUI 对应的用户池(其用户池名称将像 pcui-cd8a2-cognito-153ek3to45s98-userPool)
-
导航到 “应用程序集成”
-
-
应用程序断言消费者服务 (ACS) 网址:https://<domain-prefix>.auth。 <region>.amazoncognito.com/saml2/idpresponse
应用程序 SAML 受众:urn: amazon: cognito: sp: <userpool-id>
-
选择提交。然后,转到您添加的应用程序的 “详细信息” 页面。
-
选择 “操作” 下拉列表并选择 “编辑属性映射”。然后,提供以下属性。
-
应用程序中的用户属性:主题(注意:主题已预先填写。) → 映射到 IAM Identity Center 中的此字符串值或用户属性:$ {user: email},格式:emailAd dress
-
应用程序中的用户属性:电子邮件 → 映射到 IAM Identity Center 中的此字符串值或用户属性:$ {user: email},格式:未指定
-
-
保存您的更改。
-
选择 “分配用户” 按钮,然后将您的用户分配给应用程序。这些是您的 Active Directory 中有权访问 PCUI 界面的用户。
在您的用户池中将 IAM 身份中心配置为 SAML IdP
-
在您的用户池设置中,选择登录体验 > 添加身份提供商
-
选择 SAML IdP
-
如需提供商名称,请提供 IdentityCenter
-
在元数据文档源下,选择输入元数据文档端点 URL,然后提供在 Identity Center 的应用程序设置期间复制的 URL
-
在 “属性” 下,为电子邮件选择电子邮件
-
选择添加身份提供者。
将 IdP 与用户池应用程序客户端集成
-
接下来,在用户池的 “应用程序集成” 部分下,选择 “应用程序客户端” 列表下列出的客户端
-
在托管用户界面下,选择编辑
-
在 “身份提供者” 下IdentityCenter也选择。
-
选择 Save changes(保存更改)
验证您的设置
-
接下来,我们将通过登录 PCUI 来验证刚刚创建的设置。登录您的 PCUI 门户,现在您应该会看到一个使用公司ID登录的选项:
-
单击该IdentityCenter按钮将带您进入 IAM Identity Center IdP 登录页面,然后打开一个包含您的应用程序(包括 PCUI)的页面,然后打开该应用程序。
-
进入以下屏幕后,您的用户将被添加到 Cognito 用户池中。
将您的用户设为管理员
-
现在导航到 Amazon Cognito > 用户池控制台,然后选择新创建的用户,其前缀应为 identitycenter
-
在 “群组成员资格” 下,选择 “将用户添加到群组”,选择 “管理员”,然后单击 “添加”。
-
现在,当您单击 “继续” 时, IdentityCenter您将被导航到Amazon ParallelCluster用户界面页面。