概述
通过 AWS IAM Identity Center(SSO)中的自定义 SAML 2.0 应用,将 AWS 身份联邦到腾讯云,实现从 AWS SSO 门户一键登录腾讯云控制台。
整体架构与上一篇 AWS 登录阿里云 类似,不再赘述。
配置步骤
1. 开始配置 AWS 部分
IAM Identity Center -> Applications -> Customer managed -> Add application -> I have an application I want to set up -> SAML 2.0
IAM Identity Center metadata -> IAM Identity Center SAML metadata file,下载,腾讯云那边需要,一般名字叫 Custom SAML 2.0 Application_ins-xxxx.xml
Application properties 不需要填
Application metadata 填入如下内容:
| 字段 | 值 |
|---|---|
| Application ACS URL | https://cloud.tencent.com/login/saml |
| Application SAML audience | cloud.tencent.com |
2. 配置腾讯云部分
访问控制 -> 身份提供商 -> 角色 SSO -> 新建供应商
元数据文档,上传刚才下载的 aws 的配置文件,点击创建
访问控制 -> 角色 -> 新建角色 -> 身份提供商 -> SAML -> 允许当前角色访问控制台 -> 配置策略 -> 完成
点开刚才创建的角色,复制 RoleArn,类似:
1
qcs::cam::uin/100006033648:roleName/aws
3. 继续配置 AWS 部分
点开刚才创建的 app -> actions -> edit attr map,填入如下内容:
| Attribute | Value | Format |
|---|---|---|
Subject | ${user:email} | emailAddress |
https://cloud.tencent.com/SAML/Attributes/RoleSessionName | ${user:email} | unspecified |
https://cloud.tencent.com/SAML/Attributes/Role | qcs::cam::uin/100006033648:roleName/aws,qcs::cam::uin/100006033648:saml-provider/aws | unspecified |
Role 属性的值格式为
<角色ARN>,<身份提供商ARN>,中间一个逗号,无空格。
保存退出