使用IAM Identity Center 登录OpenSearch Cluster
Amazon OpenSearch支持使用 SAML 2.0 标准的IdP实现单点登录,比如 AWS IAM Identity Center(AWS SSO), Auth0, Okta, Keycloak, Active Directory Federation Services (AD FS), and Ping Identity (PingID)。
在本篇文章中,我将介绍如何将 AWS IAM Identity Center 与 Opensearch 集成。
Amazon OpenSearch Service
打开创建好的Amazon OpenSearch Service>Domains,选择需要单点登录的domain。打开Security configuration页签,点击【Edit】。启用SAML authentication。
留在这个页面,一会还需要用到。
AWS IAM Identity Center
打开AWS IAM Identity Center的控制台界面。选择Application, 然后选择Add Application:
选择Add custom SAML 2.0 application,然后点击下一步:
显示名称可以填写:OpenSearch;
下载IAM Identity Center SAML metadata file;
在 Application metadata, 选择 Manually type your metadata values. 然后从Amazon OpenSearch Service复制 Application ACS URL 和 Application SAML audience 的值提交后完成。
Application ACS URL → IdP-initiated SSO URL
Application SAML audience → Service provider entity ID
添加后点击Edit attribute mappings:
Subject -> ${user:email} -> emailAddress
Role -> ${user:groups} -> unspecified
点击Assign Users,选择您希望为仪表板提供访问权限的任何组。如果没有任何组,请创建一个新组。
打开刚才创建好的组,复制其Group ID:
Amazon OpenSearch Service
回到Amazon OpenSearch Service的控制台页面,
上传/粘贴从 AWS IAM 下载的 IDP 元数据。它将自动填充 IdP 实体 ID(不要更改任何内容)。
将刚才拷贝的Group ID 复制到 SAML 主后台角色,这将确保为该组的所有成员分配一个管理员到 Openseach/Dashboard。
在Roles key下填写Role,以便从 AWS SSO 中提取组,然后点击保存更改。
参考资料
https://docs.aws.amazon.com/opensearch-service/latest/developerguide/saml.html
OpenSearch Saml SP-initiated login through IAM Identity Center SSO
最后更新于