从身份提供者(IdP)启动登录 - Amazon 快速
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从身份提供者(IdP)启动登录

   适用于:企业版和标准版 
   目标受众:系统管理员 
注意

IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。

在这种情况下,您的用户从身份提供者的门户网站启动登录过程。用户通过身份验证后,他们将登录 Amazon Quick。在 Quick 检查其是否已获得授权后,您的用户就可以访问 Quick。

从用户登录 IdP 开始,身份验证将按以下步骤进行:

  1. 用户浏览 https://applications.example.com 并登录 IdP。此时,用户尚未登录服务提供商。

  2. 联合身份验证服务和 IdP 对用户进行身份验证:

    1. 联合身份验证服务请求从组织的身份存储进行身份验证。

    2. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。

    3. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。

  3. 用户打开 Amazon Quick:

    1. 用户的浏览器会将 SAML 断言发布到 Amazon 登录 SAML 端点 (https://signin.aws.amazon.com/saml)。

    2. Amazon 登录接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发给 Amazon Quick 服务。

  4. Amazon Quick 接受来自的身份验证令牌 Amazon 并向用户提供 Amazon Quick。

从用户的角度来看,整个过程以透明的方式进行。用户从贵组织的内部门户网站开始,登陆 Amazon Quick 应用程序门户,无需提供任何 Amazon 凭证。

在下图中,您可以找到 Amazon Quick 和第三方身份提供商 (IdP) 之间的身份验证流程。在此示例中,管理员设置了一个名为 applications.example.com Amazon Quick 的登录页面来访问。当用户登录时,登录页面会向符合 SAML 2.0 的联合身份验证服务发布请求。最终用户从 IdP 的登录页面启动身份验证。

快速 SAML 示意图。该图包含两个框。第一个介绍企业内的身份验证过程。第二个介绍 Amazon内的身份验证。在该表后面的文本中介绍了该过程。

有关一些常见提供者的信息,请参阅以下第三方文档:

使用以下主题来了解如何使用现有的联合体 Amazon: