我已按照此博客文章中的说明将 GSuite 配置为我们的 AWS SSO 服务的身份提供商。当我访问我的 SSO 用户门户 URL(即https://d-1234567890.awsapps.com/start)时,我被正确重定向到 accounts.google.com ,在那里我进行身份验证并被重定向回 AWS SSO。此时我收到来自 aws 的错误(网址https://us-west-2.signin.aws.amazon.com/platform/saml/acs/SOME-UUID)。
错误是:
Invalid MFA credentials
Your MFA credentials were incorrect. Please check your device and try again.
据我所知,您无法在 AWS SSO 中使用外部身份提供商配置 MFA。
FWIW,我已经测试了使用 AWS SSO 作为身份提供者设置 AWS SSO 并设置 MFA 并且它有效。
此错误仅在username和primary email address不匹配时出现。您在 AWS SSO 和 Gsuite 中的用户详细信息必须相同并设置为用户名。
为了说明,假设您的gsuite_email: XYZ@gsuite_domain.com,用户名在哪里XYZ。
在 AWS SSO 中创建新用户时,您必须输入与 Gsuite 相同的用户名和主电子邮件。
XYZ@gsuite_domain.comXYZ@gsuite_domain.com注意:您必须输入用户详细信息并使用用户的主电子邮件地址 (
username@gsuite_domain.com) 作为用户名。此外,如果您在 AWS SSO 中已经存在用户,则无法修改用户名,唯一的选择是删除用户并重新创建。
我已成功将 AWS SSO 与 GSuite 集成。我遇到了与您相同的错误,但通过在 AWS 中禁用自动配置来修复它。这是因为 Google 目前不支持自定义 SAML 应用程序的 SCIM,这是一种耻辱。相反,我手动创建了与 GSuite 用户的电子邮件地址匹配的用户帐户。