AWS Federated Authentication with Active Directory Federation Services (AD FS)

通过Active Directory (AD) 和 Active Directory Federation Services (ADFS)单点登录IAM。

ADFS 联合身份验证流程

下面将介绍用户使用Active Directory (AD) 和ADFS作为身份提供者和身份代理对AWS进行身份验证的过程:

本地的Active Directory (AD)作为IdP也就是主要的身份提供商,AWS作为SP,也就是服务提供商,所有的单点登录都在本地Active Directory (AD)管理和实现,AWS控制台仅仅是其中一个可以单点登录的对象。

ADFS Federated Authentication Process

  1. 企业员工访问企业的Active Directory Federation Services (ADFS)登录页面,并提供AD身份验证凭证。

  2. AD FS 根据 Active Directory 对用户进行身份验证。

  3. Active Directory 返回用户信息,包括 AD 组成员信息。

  4. AD FS动态建立ARNs,通过使用AD组成员映射到IAM角色,用户属性映射到AWS 账号ID,然后发送签名断言到用户浏览器,同时重定向将断言发送到AWS STS

  5. 通过STS AssumeRoleWithSAML返回临时授权;

  6. 用户被授权并且被重定向到AWS管理控制台,进入控制台页面。

配置过程可以参考博客:

AWS Federated Authentication with Active Directory Federation Services (AD FS)

参考资料

Field Notes: Integrating Active Directory Federation Service with AWS Single Sign-On

AWS Federated Authentication with Active Directory Federation Services (AD FS)

上一页AWS SSO用户如何使用CLI下一页通过Identity Store API大规模管理和审计 AWS IAM 身份中心的用户和组操作

最后更新于