AWS Federated Authentication with Active Directory Federation Services (AD FS)
最后更新于
最后更新于
通过Active Directory (AD) 和 Active Directory Federation Services (ADFS)单点登录IAM。
下面将介绍用户使用Active Directory (AD) 和ADFS作为身份提供者和身份代理对AWS进行身份验证的过程:
本地的Active Directory (AD)作为IdP也就是主要的身份提供商,AWS作为SP,也就是服务提供商,所有的单点登录都在本地Active Directory (AD)管理和实现,AWS控制台仅仅是其中一个可以单点登录的对象。
企业员工访问企业的Active Directory Federation Services (ADFS)登录页面,并提供AD身份验证凭证。
AD FS 根据 Active Directory 对用户进行身份验证。
Active Directory 返回用户信息,包括 AD 组成员信息。
AD FS动态建立ARNs,通过使用AD组成员映射到IAM角色,用户属性映射到AWS 账号ID,然后发送签名断言到用户浏览器,同时重定向将断言发送到AWS STS
通过STS AssumeRoleWithSAML返回临时授权;
用户被授权并且被重定向到AWS管理控制台,进入控制台页面。
配置过程可以参考博客:
AWS Federated Authentication with Active Directory Federation Services (AD FS)
Field Notes: Integrating Active Directory Federation Service with AWS Single Sign-On
AWS Federated Authentication with Active Directory Federation Services (AD FS)