设置客户托管的 SAML 2.0 应用程序 - Amazon IAM Identity Center
应用程序目录设置您自己的 SAML 2.0 应用程序
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置客户托管的 SAML 2.0 应用程序

如果您使用的客户托管应用程序支持 SAML 2.0,则可以通过 SAML 2.0 将您的 IdP 与 IAM Identity Center 联合起来,并使用 IAM Identity Center 管理用户对这些应用程序的访问。您可以在 IAM Identity Center 控制台中从常用应用程序目录中选择一个 SAML 2.0 应用程序,也可以设置自己的 SAML 2.0 应用程序。

注意

如果您有支持 OAuth 2.0 的客户托管应用程序,并且您的用户需要从这些应用程序访问 Amazon 服务,则可以使用可信身份传播。通过可信身份传播,用户可以登录应用程序,该应用程序可以在请求中传递用户的身份,以访问 Amazon 服务中的数据。有关更多信息,请参阅 对客户托管的应用程序使用可信身份传播

IAM Identity Center 应用程序目录

您可以使用 IAM Identity Center 控制台中的应用程序目录添加许多可与 IAM Identity Center 配合使用的常用 SAML 2.0 应用程序。例如,其中包括 Salesforce、Box 和 Microsoft 365。

大多数应用程序都会提供详细信息,介绍如何设置 IAM Identity Center 与应用程序服务提供商之间的信任。在目录中选择应用程序后,您可在应用程序的配置页面中找到此信息。配置应用程序后,您可以根据需要,向 IAM Identity Center 中的用户或组分配访问权限。

设置应用程序目录中的应用程序

请使用此过程在 IAM Identity Center 和应用程序的服务提供商之间设置 SAML 2.0 信任关系。

开始执行此过程之前,获得服务提供商的元数据交换文件将很有帮助,这样可以让您更有效地设置信任。如果您没有此文件,仍可以使用此过程手动配置信任。

要添加并配置应用程序目录中的应用程序

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我想从目录中选择应用程序

  6. 应用程序目录下,开始在搜索框中键入要添加的应用程序名称。

  7. 当应用程序出现在搜索结果中时,从列表中选择该应用程序的名称,然后选择下一步

  8. 配置应用程序页面,显示名称描述字段会预先填充应用程序的相关详细信息。您可以编辑这些信息。

  9. IAM Identity Center 元数据下,执行以下操作:

    1. IAM Identity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. IAM Identity Center 证书下,选择下载证书以下载身份提供商证书。

    注意

    稍后通过服务提供商的网站设置应用程序时,您会用到这些文件。按照该提供商的说明进行操作。

  10. (可选)在应用程序属性下,您可以指定应用程序启动 URL中继状态会话持续时间。有关更多信息,请参阅 在 IAM Identity Center 控制台中配置应用程序属性

  11. 应用程序元数据下,执行以下操作之一:

    1. 如果您有元数据文件,请选择上传应用程序 SAML 元数据文件。然后,选择选择文件以查找并选择元数据文件。

    2. 如果您没有元数据文件,请选择手动键入元数据值,然后提供应用程序 ACS URL应用程序 SAML 受众值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。

设置您自己的 SAML 2.0 应用程序

您可以自行设置允许使用 SAML 2.0 进行身份联合验证的应用程序,然后将其添加到 IAM Identity Center。要设置自己的 SAML 2.0 应用程序,其大部分步骤与在 IAM Identity Center 控制台设置应用程序目录中的 SAML 2.0 应用程序相同。但是,您还必须为自己的 SAML 2.0 应用程序提供额外的 SAML 属性映射。这些映射将使 IAM Identity Center 为您的应用程序正确填充 SAML 2.0 断言。您可以在首次设置应用程序时提供此附加 SAML 属性映射。您还可以在 IAM Identity Center 控制台的应用程序详细信息页面上提供 SAML 2.0 属性映射。

请使用以下过程在 IAM Identity Center 和您的 SAML 2.0 应用程序服务提供商之间设置 SAML 2.0 信任关系。开始执行此过程之前,请确保您拥有服务提供商的证书和元数据交换文件,以便您完成信任的设置。

要设置您自己的 SAML 2.0 应用程序

  1. 打开 IAM Identity Center 控制台

  2. 选择应用程序

  3. 选择客户托管选项卡。

  4. 选择添加应用程序

  5. 选择应用程序类型页面,选择设置首选项下的我有想设置的应用程序

  6. 应用程序类型下,选择 SAML 2.0

  7. 选择下一步

  8. 配置应用程序页面上的配置应用程序下,输入应用程序的显示名称,例如 MyApp。然后,输入描述

  9. IAM Identity Center 元数据下,执行以下操作:

    1. IAM Identity Center SAML 元数据文件下,选择下载以下载身份提供商元数据。

    2. IAM Identity Center 证书下,选择下载,以下载身份提供商证书。

    注意

    稍后在您通过服务提供商的网站设置自定义应用程序时,您会用到这些文件。

  10. (可选)在应用程序属性下,您也可以指定应用程序启动 URL中继状态会话持续时间。有关更多信息,请参阅 在 IAM Identity Center 控制台中配置应用程序属性

  11. 应用程序元数据下,选择手动键入您的元数据值。然后,提供应用程序 ACS URL应用程序 SAML 受众值。

  12. 选择提交。您将进入刚刚添加的应用程序的详细信息页面。