本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 从身份提供者(IdP)启动登录 | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | **注意** IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。 在这种情况下,您的用户从身份提供者的门户网站启动登录过程。用户通过身份验证后,他们将登录 Amazon Quick。在 Quick 检查其是否已获得授权后,您的用户就可以访问 Quick。 从用户登录 IdP 开始,身份验证将按以下步骤进行: 1. 用户浏览 `https://applications.example.com` 并登录 IdP。此时,用户尚未登录服务提供商。 1. 联合身份验证服务和 IdP 对用户进行身份验证: 1. 联合身份验证服务请求从组织的身份存储进行身份验证。 1. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。 1. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。 1. 用户打开 Amazon Quick: 1. 用户的浏览器会将 SAML 断言发布到 Amazon 登录 SAML 端点 (`https://signin.aws.amazon.com/saml`)。 1. Amazon 登录接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发给 Amazon Quick 服务。 1. Amazon Quick 接受来自的身份验证令牌 Amazon 并向用户提供 Amazon Quick。 从用户的角度来看,整个过程以透明的方式进行。用户从贵组织的内部门户网站开始,登陆 Amazon Quick 应用程序门户,无需提供任何 Amazon 凭证。 在下图中,您可以找到 Amazon Quick 和第三方身份提供商 (IdP) 之间的身份验证流程。在此示例中,管理员设置了一个名为 `applications.example.com` Amazon Quick 的登录页面来访问。当用户登录时,登录页面会向符合 SAML 2.0 的联合身份验证服务发布请求。最终用户从 IdP 的登录页面启动身份验证。 ![\[快速 SAML 示意图。该图包含两个框。第一个介绍企业内的身份验证过程。第二个介绍 Amazon内的身份验证。在该表后面的文本中介绍了该过程。\]](http://docs.amazonaws.cn/quick/latest/userguide/images/SAML-Flow-Diagram.png) 有关一些常见提供者的信息,请参阅以下第三方文档: + CA – [启用 SAML 2.0 HTTP Post 绑定](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html) + Okta – [规划 SAML 部署](https://developer.okta.com/docs/concepts/saml/) + Ping – [Amazon 集成](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html) 使用以下主题来了解如何使用现有的联合体 Amazon: + Amazon 网站@@ [Amazon上的身份联盟](https://www.amazonaws.cn/identity/federation/) + 《IAM 用户指南》**中的[向经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) + 《IAM 用户指南》**中的[使 SAML 2.0 联合用户能够访问 Amazon 管理控制台](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)