本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon ParallelCluster 用户界面与身份中心集成
本教程的目标是演示如何将用户 Amazon ParallelCluster 界面与 IAM Identity Center 集成,以实现单点登录解决方案,该解决方案可统一可与 Amazon ParallelCluster 集群共享的 Active Directory 中的用户。
使用时 Amazon ParallelCluster,您只需为创建或更新 Amazon ParallelCluster 映像和集群时创建的 Amazon 资源付费。有关更多信息,请参阅 Amazon 使用的服务 Amazon ParallelCluster。
先决条件:
启用 IAM Identity Center
如果您已经将身份中心连接到您的 Amazon Managed Microsoft AD (Active Directory),则可以使用该身份中心,并且可以跳至将您的应用程序添加到 IAM 身份中心部分。
如果您尚未将身份中心连接到 Amazon Managed Microsoft AD,请按照以下步骤进行设置。
启用 Identity Center
-
在控制台中,导航至 IAM Identity Center。(请确保您位于您所在的地区 Amazon Managed Microsoft AD。)
-
单击启用按钮,此时系统可能会询问您是否要启用组织,这是一项要求,因此您可以选择启用。注:这将给您的账户管理员发送一封确认电子邮件,您应点击链接进行确认。
将 Identity Center 连接到 Managed AD
-
在启用 Identity Center 后的下一页,您会看到“建议设置步骤”,在步骤 1 下,选择选择您的身份源。
-
在“身份源”部分,单击操作下拉菜单(右上角),然后选择更改身份源。
-
选择 Active Directory。
-
在现有目录下,选择您的目录。
-
单击下一步。
-
查看您的更改,滚动到底部,在文本框中键入 ACCEPT 进行确认,然后单击更改身份源。
-
等待更改完成,然后您应该会在顶部看到一个绿色横幅。
将用户和组同步到 Identity Center
-
在绿色横幅中,单击开始引导式设置(右上角的按钮)
-
在配置属性映射中,单击下一步
-
在“配置同步范围”部分,键入要同步到 Identity Center 的用户的名称,然后单击添加
-
添加完用户和组后,单击下一步
-
查看您的更改,然后单击保存配置
-
如果您在下一个屏幕中看到有关用户未同步的警告,请选择右上角的恢复同步按钮。
-
接下来,要启用用户,请在左侧的用户选项卡中,选择一个用户,然后单击启用用户访问 > 启用用户访问
注:如果顶部出现警告横幅,则可能需要选择“恢复同步”,然后等待用户进行同步(尝试使用刷新按钮查看用户是否已同步)。
将应用程序添加到 IAM Identity Center
将用户与 IAM Identity Center 同步后,您需要添加新的应用程序。这将配置可从 IAM Identity Center 门户使用哪些启用了 SSO 的应用程序。在本例中,我们将添加 Amazon ParallelCluster UI 作为应用程序,而 IAM Identity Center 将作为身份提供者。
下一步将 Amazon ParallelCluster 用户界面作为应用程序添加到 IAM 身份中心。 Amazon ParallelCluster UI 是一个 Web 门户,可帮助用户管理其集群。有关更多信息,请参阅 Amazon ParallelCluster UI。
在 Identity Center 中设置应用程序
-
在 IAM Identity Center > 应用程序下(位于左侧菜单栏上,单击“应用程序”)
-
单击添加应用程序
-
选择添加自定义 SAML 2.0 应用程序
-
单击下一步
-
选择您要使用的显示名称和描述(例如 PC Amazon ParallelCluster UI 和 UI)
-
在 IAM Identity Center 元数据下,复制 IAM Identity Center SAML 元数据文件的链接并保存备用,这将在 Web 应用程序上配置 SSO 时使用
-
在应用程序属性下的“应用程序启动 URL”中,输入您的 PCUI 地址。这可以通过进入 CloudFormation 控制台,选择与 PCUI 对应的堆栈(例如 parallelcluster-ui),然后转到 “输出” 选项卡进行查找 ParallelCluster UIUrl
例如 https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com
-
在应用程序元数据下,选择手动键入您的元数据值。然后提供以下值。
-
重要提示:请确保将域前缀、区域和用户池 ID 值替换为与您的环境相关的信息。
-
打开 Amazon Cognito > 用户池控制台,即可获取域前缀、区域和用户池 ID
-
选择与 PCUI 对应的用户池(其用户池名称将像 pcui-cd8a2-cognito-153 s98-UserP EK3 TO45 ool)
-
导航到应用程序集成
-
-
应用程序断言消费者服务 (ACS) 网址:https://<domain-prefix>.auth。 <region>.amazoncognito。 com/saml2/idpresponse
应用程序 SAML 受众:urn:amazon:cognito:sp:<userpool-id>
-
选择提交。然后,转到您添加的应用程序的详细信息页面。
-
选择操作下拉列表并选择编辑属性映射。然后,提供以下属性。
-
应用程序中的用户属性:subject(注:subject 已预填写。) → 映射到 IAM Identity Center 中的这个字符串值或用户属性:${user:email},格式:emailAddress
-
应用程序中的用户属性:email → 映射到 IAM Identity Center 中的这个字符串值或用户属性:${user:email},格式:unspecified
-
-
保存您的更改。
-
选择分配用户按钮,然后将您的用户分配给应用程序。这些是您的 Active Directory 中有权访问 PCUI 界面的用户。
将 IAM Identity Center 配置为用户池中的 SAML IdP
-
在您的用户池设置中,选择登录体验 > 添加身份提供者
-
选择一个 SAML IdP
-
如需提供商名称,请提供 IdentityCenter
-
在元数据文档源下,选择输入元数据文档端点 URL,然后提供在 Identity Center 的应用程序设置期间复制的 URL
-
在属性下,如果是电子邮件,则选择 email
-
选择添加身份提供者。
将 IdP 与用户池应用程序客户端集成
-
接下来,在用户池的应用程序集成部分下,选择应用程序客户端列表下列出的客户端
-
在托管 UI 下,选择编辑
-
在 “身份提供者” 下IdentityCenter也选择。
-
选择 Save changes(保存更改)
验证您的设置
-
接下来,我们将通过登录 PCUI 来验证刚刚创建的设置。登录 PCUI 门户,您现在应该可以看到使用企业 ID 登录的选项:
-
单击该IdentityCenter按钮将带您进入 IAM Identity Center IdP 登录页面,然后打开一个包含您的应用程序(包括 PCUI)的页面,然后打开该应用程序。
-
进入以下屏幕后,可看到您的用户应该已经添加到 Cognito 用户池中。
将用户设为管理员
-
现在导航到 Amazon Cognito > 用户池控制台,选择新创建的用户,其前缀应为 identitycenter
-
在组成员资格下,选择将用户添加到组,选择管理员,然后单击添加。
-
现在,当您单击 “继续” 时, IdentityCenter您将被导航到 Amazon ParallelCluster 用户界面页面。