AWS SSO/AWS Opensearch SAML 集成

问题描述 投票:0回答:3

我有一个 AWS OpenSearch 的实现,可以使用主密码/用户组合进行访问。

我们的 AWS 实施使用 AWS SSO 通过控制台访问帐户。我已在 AWS SSO 中配置了自定义 SAML 2.0 应用程序,并在 OpenSearch 中启用了 SAML。

  • 服务提供商实体 ID (OS) 已复制并映射到应用程序 ACS URL (AWS SSO)
  • IdP 发起的 SSO URL (OS) 已复制并映射到应用程序 SAML 受众 (SSO)
  • 下载 AWS SSO SAML 元数据文件 (SSO) 并导入为 IdP 元数据 (OS)。

属性映射如下

Attribute Mapping

我已将自己指定为用户 (SSO),并使用与 SAML 主用户名 (OS) 相同的电子邮件地址。

当我单击 AWS 中的自定义 Web 应用程序图标时,出现以下错误

{"statusCode":500,"error":"Internal Server Error","message":"Internal Error"}

此设置中哪些配置不正确?

amazon-web-services elasticsearch opensearch aws-sso
3个回答
1
投票

正确的配置是:

应用程序 ACS URL:IdP 发起的 SSO URL[1] 或 SP 发起的 SSO URL[2]

应用程序 SAML 受众:服务提供商实体 ID

使用 [1],您需要访问 SSO 的用户门户,并且 OpenSearch 应用程序将在那里。 使用 [2] 您可以直接访问仪表板 URL。

此外,您可能会发现将 SSO 组映射到 OpenSearch 角色(而不是单个用户)很有用。 为此,请在 SSO 应用程序上添加新的属性映射。

"User attribute in the application" -> Groups
"Maps to this string value or user attribute in AWS SSO" -> "${user:groups}"

然后您需要编辑 OpenSearch SAML 配置并添加: 在“角色键 - 可选”中将 SAML 的属性指定为“组”

之后,复制组的 ID,登录到 opensearch 仪表板(使用主用户)并将此 ID 映射到角色作为“后端角色”。

0
投票

我也遇到了同样的问题,我发现我的 AD 元数据是错误的。 验证您是否使用了良好的元数据 xml 文件

0
投票

我们现在应该能够设置 SAML 与 OpenSearch VPC 集成:

SAML 不需要您的身份提供商和服务提供商之间的直接通信。因此,即使您的 OpenSearch 域托管在私有 VPC 内,只要您的浏览器可以与您的 OpenSearch 集群和身份提供商通信,您仍然可以使用 SAML。

来源:相信我,兄弟

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.