Amazon ParallelCluster用户界面与身份中心集成 - Amazon ParallelCluster
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon ParallelCluster用户界面与身份中心集成

本教程的目标是演示如何将用户Amazon ParallelCluster界面与 IAM Identity Center 集成,以实现单点登录解决方案,该解决方案可统一可与Amazon ParallelCluster集群共享的 Active Directory 中的用户。

使用 Amazon ParallelCluster 时,您只需为创建或更新 Amazon ParallelCluster 映像和集群时创建的 Amazon 资源付费。有关更多信息,请参阅Amazon ParallelCluster 使用的 Amazon 服务

先决条件:

启用 IAM Identity Center

如果您已经将身份中心连接到您的Amazon Managed Microsoft AD(Active Directory),则可以使用该身份中心,并且可以跳至将您的应用程序添加到 IAM 身份中心部分。

如果您尚未将身份中心连接到Amazon Managed Microsoft AD,请按照以下步骤进行设置。

启用身份中心

  1. 在控制台中,导航到 IAM 身份中心。(请确保您位于您所在的地区Amazon Managed Microsoft AD。)

  2. 单击 “启用” 按钮,这可能会询问您是否要启用组织,这是一项要求,因此您可以选择启用它。注意:这将向您的账户管理员发送一封确认电子邮件,您应点击链接进行确认。

将身份中心连接到托管 AD

  1. 在启用身份中心后的下一页上,您应该会看到建议的设置步骤,在步骤 1 下,选择选择您的身份来源

  2. 在 “身份来源” 部分,单击 “操作” 下拉菜单(右上角),然后选择 “更改身份来源”。

  3. 选择 “活动目录”。

  4. 在 “现有目录” 下,选择您的目录。

  5. 单击下一步。

  6. 查看您的更改,滚动到底部,在文本框中键入 “接受” 进行确认,然后单击 “更改身份来源”。

  7. 等待更改完成,然后您应该会在顶部看到一个绿色横幅。

将用户和群组同步到 Identity Center

  1. 在绿色横幅中,单击 “启动引导式安装”(右上角的按钮)

    屏幕截图突出显示了 “开始引导式设置” 按钮。
  2. 在 “配置属性映射” 中,单击 “下一步”

  3. 在 “配置同步范围” 部分,键入要同步到身份中心的用户的姓名,然后单击 “添加”

  4. 添加完用户和群组后,单击 “下一步

    屏幕截图突出显示下一步按钮。
  5. 查看您的更改,然后单击 “保存配置

  6. 如果您在下一个屏幕中看到有关用户未同步的警告,请选择右上角的 “恢复同步” 按钮

  7. 接下来,要启用用户,请在左侧的 “用户” 选项卡中,选择一个用户,然后单击 “启用用户访问权限” > “启用用户访问权限

    注意:如果顶部有警告横幅,则可能需要选择 “恢复同步”,然后等待用户同步(尝试刷新按钮查看他们是否已同步)。

    屏幕截图突出显示用户选项卡。

将您的应用程序添加到 IAM 身份中心

将用户与 IAM Identity Center 同步后,您需要添加新的应用程序。这将配置哪些启用 SSO 的应用程序可从您的 IAM 身份中心门户中使用。在这种情况下,我们将添加Amazon ParallelCluster用户界面作为应用程序,而 IAM Identity Center 将作为身份提供商。

下一步将Amazon ParallelCluster用户界面作为应用程序添加到 IAM 身份中心。 Amazon ParallelClusterUI 是一个 Web 门户,可帮助用户管理其集群。有关更多信息,请参阅 Amazon ParallelClusterUI

在 Identity Center 中设置应用程序

  1. IAM 身份中心 > 应用程序下(位于左侧菜单栏中,点击应用程序)

  2. 单击 “添加应用程序

  3. 选择添加自定义 SAML 2.0 应用程序

  4. 单击 “下一步

  5. 选择您要使用的显示名称和描述(例如 PC Amazon ParallelCluster UI 和 UI)

  6. IAM Identity Center 元数据下,复制 IAM Identity Center SAML 元数据文件的链接并保存以备后用,这将在网络应用程序上配置 SSO 时使用

  7. 在 “应用程序属性” 下的 “应用程序起始 URL” 中,输入您的 PCUI 地址。这可以通过进入 CloudFormation 控制台,选择与 PCUI 对应的堆栈(例如 parallelcluster-ui),然后前往 “输出” 选项卡查找 uiUrl 来找到 ParallelCluster

    例如 https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

  8. 应用程序元数据下,选择手动键入您的元数据值。然后提供以下值。

    1. 重要提示:请务必将域前缀、区域和 userpool-id 值替换为特定于您的环境的信息。

    2. 可以通过打开 Amazon Cognito > 用户池控制台来获取域名前缀、区域和用户池 ID

      屏幕截图在 Cognito 用户池下突出显示用户池名称
    3. 选择与 PCUI 对应的用户池(其用户池名称将像 pcui-cd8a2-cognito-153ek3to45s98-userPool)

    4. 导航到 “应用程序集成

      在 “应用程序集成” 选项卡中突出显示 Cogneto 域名的屏幕截图
  9. 应用程序断言消费者服务 (ACS) 网址:https://<domain-prefix>.auth。 <region>.amazoncognito.com/saml2/idpresponse

    应用程序 SAML 受众:urn: amazon: cognito: sp: <userpool-id>

  10. 选择提交。然后,转到您添加的应用程序的 “详细信息” 页面。

  11. 选择 “操作” 下拉列表并选择 “编辑属性映射”。然后,提供以下属性。

    1. 应用程序中的用户属性:主题(注意:主题已预先填写。) → 映射到 IAM Identity Center 中的此字符串值或用户属性:$ {user: email},格式:emailAd dress

    2. 应用程序中的用户属性:电子邮件 → 映射到 IAM Identity Center 中的此字符串值或用户属性:$ {user: email},格式:未指定

      屏幕快照突出显示了 PCUI 的属性映射部分
  12. 保存您的更改。

  13. 选择 “分配用户” 按钮,然后将您的用户分配给应用程序。这些是您的 Active Directory 中有权访问 PCUI 界面的用户。

    屏幕截图突出显示为应用程序分配用户。

在您的用户池中将 IAM 身份中心配置为 SAML IdP

  1. 在您的用户池设置中,选择登录体验 > 添加身份提供商

    屏幕截图突出显示 “登录体验” 选项卡
  2. 选择 SAML IdP

  3. 如需提供商名称,请提供 IdentityCenter

  4. 元数据文档源下,选择输入元数据文档端点 URL,然后提供在 Identity Center 的应用程序设置期间复制的 URL

  5. 在 “属性” 下,为电子邮件选择电子邮件

    屏幕截图突出显示 “登录体验” 选项卡
  6. 选择添加身份提供者

将 IdP 与用户池应用程序客户端集成

  1. 接下来,在用户池的 “应用程序集成” 部分下,选择 “应用程序客户端” 列表下列出的客户端

    屏幕截图突出显示 “登录体验” 选项卡
  2. 托管用户界面下,选择编辑

  3. 在 “身份提供者” 下IdentityCenter也选择。

  4. 选择 Save changes(保存更改)

验证您的设置

  1. 接下来,我们将通过登录 PCUI 来验证刚刚创建的设置。登录您的 PCUI 门户,现在您应该会看到一个使用公司ID登录的选项:

    屏幕截图突出显示 “登录体验” 选项卡
  2. 单击该IdentityCenter按钮将带您进入 IAM Identity Center IdP 登录页面,然后打开一个包含您的应用程序(包括 PCUI)的页面,然后打开该应用程序。

  3. 进入以下屏幕后,您的用户将被添加到 Cognito 用户池中。

    屏幕截图突出显示 “登录体验” 选项卡

将您的用户设为管理员

  1. 现在导航到 Amazon Cognito > 用户池控制台,然后选择新创建的用户,其前缀应为 identitycenter

    屏幕截图突出显示 “登录体验” 选项卡
  2. 在 “群组成员资格” 下,选择 “将用户添加到群组”,选择 “管理员”,然后单击 “添加”。

  3. 现在,当您单击 “继续” 时, IdentityCenter您将被导航到Amazon ParallelCluster用户界面页面。