使用Azure AD作为AWS的身份提供程序

Question

我们试图使用Azure Active Directory作为Amazon控制台的身份提供者，但我们不幸地失败了！

我们已经尝试过Azure中的"Amazon (AWS)“和"AWS控制台”应用程序，但是当有人试图使用任何一个应用程序访问AWS时，它们都会产生以下错误：

“您的请求不包括SAML响应”

我们按照以下文章中的步骤在AWS中创建身份提供程序：http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0

我们使用以下URL上载AWS中标识提供者的元数据: https:// login.windows.net//FederationMetadata/2007-06/FederationMetadata.xml

在Azure AD中配置应用程序时，我们使用以下URL : https:// signin.aws.amazon.com/saml

使用Fiddler，我们可以看到没有任何东西被发布到Amazon端点URL，浏览器只是被重定向到那里，而没有发布任何东西。

如果有人能做到这一点，我们很难看到我们错过了什么，所以任何帮助/建议都会非常感谢。

编辑:我们还使用了用于Firefox的SAML跟踪程序外接程序来解决这个问题，这表明没有发布任何内容。有一个对account.activedirectory.windowsazure.com的GET请求，然后是对signin.aws.amazon.com的另一个GET请求

Answer 1

可以使用SAML联邦从Azure AD到AWS控制台设置SSO。以下是总结的步骤：

• 在Azure AD中创建企业应用程序。搜索“(AWS)"，从列表中选择它，但确保您给它一个自己选择的唯一名称。
• 转到刀片上的单一标志并启用SAML联合。添加两个AWS所需的SAML属性(角色和RoleSessionName)和相应的AAD值。
• 从同一页面下载SAML证书
• 确保标识符字段不是空的，并最终保存更改。
• 在AWS方面，您需要使用之前下载的SAML证书在IAM中创建身份提供程序。
• 使用上一步中的标识提供程序创建角色。
• 最后，您必须创建从AAD组到AWS角色的映射。有两种方法可以做到这一点：

1-使用自动配置。此方法限制您将所有AWS角色放在一个AWS帐户中。此外，您需要在AWS中创建一个具有IAM读取权限的用户，然后为其分配编程键。然后，您必须在AAD内部输入这些密钥。我不推荐这种方法。

2-您可以转到应用程序注册页面在AAD和修改您的应用程序清单JSON与您的映射。这允许您创建到Azure AD组的无限帐户/角色组合的映射。此外，您不必在AWS中创建任何用户。

联邦制快乐！