0

我有一个 AWS OpenSearch 的实现,我可以使用主密码/用户组合访问它。

我们的 AWS 实施使用 AWS SSO 通过控制台访问账户。我在 AWS SSO 中配置了一个自定义 SAML 2.0 应用程序并在 OpenSearch 中启用了 SAML。

  • 服务提供商实体 ID (OS) 已复制并映射到应用程序 ACS URL (AWS SSO)
  • IdP 发起的 SSO URL (OS) 已复制并映射到应用程序 SAML 受众 (SSO)
  • AWS SSO SAML 元数据文件已下载 (SSO) 并作为 IdP 元数据 (OS) 导入。

属性映射如下

属性映射

我已将自己指定为用户 (SSO),并使用与 SAML 主用户名 (OS) 相同的电子邮件。

单击 AWS 中的自定义 Web 应用程序图标时出现以下错误

{"statusCode":500,"error":"Internal Server Error","message":"Internal Error"}

此设置中的哪些配置不正确?

4

2 回答 2

0

我有同样的问题,我发现我的 AD 元数据是错误的。验证您是否使用了良好的元数据 xml 文件

于 2022-03-01T13:33:25.423 回答
0

正确的配置是:

应用程序 ACS URL:IdP 发起的 SSO URL[1] 或 SP 发起的 SSO URL[2]

应用程序 SAML 受众:服务提供者实体 ID

使用 [1],您将需要访问 SSO 的用户门户,并且 OpenSearch 应用程序将在那里。使用 [2] 您可以直接访问仪表板 URL。

此外,您可能会发现将 SSO 组映射到 OpenSearch 角色(而不是单个用户)很有用。为此,请在 SSO 应用程序上添加一个新的属性映射。

"User attribute in the application" -> Groups
"Maps to this string value or user attribute in AWS SSO" -> "${user:groups}"

然后您需要编辑您的 OpenSearch SAML 配置并添加: 在“角色键 - 可选”中将 SAML 的属性指定为“组”

之后,复制组的 ID,登录到您的 opensearch 仪表板(使用主用户)并将此 ID 映射到角色作为“后端角色”。

于 2022-02-25T19:32:44.110 回答