问题标签 [aws-sso]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
385 浏览

amazon-web-services - 使用 AWS-SDK 访问 AWS SSO

有没有办法使用 AWS-SDK 与 AWS SSO 服务进行交互?

https://aws.amazon.com/single-sign-on/

我只是在寻找对 AWS SSO 的编程访问——使用 AWS CLI 或 SDK 或其他任何东西。

0 投票
0 回答
66 浏览

single-sign-on - 在基于 SSO 的应用程序中管理多个 SP(服务提供商)的角色

需要有关如何在基于 SSO 的应用程序中使用角色同时支持多个 SP(sso 客户端)的信息

我正在使用 CAS 协议开发基于 SSO 的架构。如何为同一用户管理跨不同 SP(服务提供商)的角色。我有 2 个服务提供商,例如 Sp1 和 Sp2 应用程序。我有一个用户-> 用户 1,他应该在 Sp1 中具有简单的“用户”角色,但在 Sp2 中具有“管理员”角色。我如何管理我的 IdP-Shibboleth 或任何其他来为用户释放相关角色?

0 投票
2 回答
2138 浏览

git - How to use GitHub Desktop with AWS CodeCommit and AWS SSO profile?

I have enabled SSO for my organization and created a user. The user has admin rights to a sub account and is able to clone a repo via terminal. The problem is when I am trying to use GitHub Desktop to clone (or do anything) it asks for a username and password which I have no idea what they are.

Doesn't the GitHub Dekstop use the same git commands under the hood and therefore the aws credential helper for git?

I'd also like to know if there is a better way to manage which profile to use with git other than running git config --global credential.helper '!aws2 --profile my-profile codecommit credential-helper $@' every time I want to deal with a repo from different account.

0 投票
0 回答
68 浏览

amazon-web-services - Amazon Connect 服务域

有谁知道是否有办法与您的 Amazon SSO 域(用于控制塔)共享 Amazon Connect 域?

它们都具有相同的 TLD,并且似乎对实际应用程序具有不同的路径,但我看不到将两者连接起来的方法。

Control Tower 设置 SSO,您可以将域设置为<sub-domain>.awsapps.com. 那么你的着陆页是<sub-domain>.awsapps.com/start.

对于 Connect,您可以输入域,但不能是已使用的域。

0 投票
1 回答
66 浏览

amazon-web-services - AWS 从 SSO AD 连接器获取短期临时令牌

我有一个使用 AD 连接器链接到 AWS SSO 的预置 AD。AD 用户在 AWS SSO 中启用了 MFA。

应用程序需要使用用户 ID 检索短期令牌。示例 Active Directory 用户 ID“A”有权关闭 EC2 实例。用户 ID“A”登录自定义应用程序,自定义应用程序检索短期令牌并使用此令牌关闭 EC2 实例。

此应用程序专为不习惯使用 AWS 控制台的业务用户构建,因此是一个非常基本且易于使用的 UI。

我已经阅读了很多 AWS 文档,并且我在网上检查的所有实施都是针对 AWS SSO 和 SAML 与 Azure AD 等联合,但不是在 premp AD 上。

如何在预置 AD SSO 实施中使用 STS?

0 投票
0 回答
152 浏览

amazon-web-services - AWS 访问密钥/秘密密钥 AWS SSO 用户

我已经按照文档配置了 AWS Organizations、SSO。我还创建了用户、组、权限。我可以从 SSO 开始页面获取短期 AWS 访问密钥/秘密密钥。但是有什么方法可以像我们为 IAM 用户获得的一样吗?因为短时间密钥在一段时间内有效。我尝试在权限集中附加 IAM 策略,但在那里找不到。那么我有什么遗漏吗?实际上 SSO 用户无法创建永久 AWS 密钥?

0 投票
2 回答
2283 浏览

amazon-web-services - 我可以在没有浏览器的情况下在命令行使用 sso 获取 aws 帐户的凭据吗

我目前正在使用 awscli 版本 2 在命令行获取临时凭证。这似乎需要一个浏览器来参与。这在任何地方都不起作用,例如在服务器上。我希望能够在命令行中使用 AWS SSO 为我的用户账户获取临时凭证。这可能吗。从这里的 SDK 文档和 awscli 版本 2 实用程序可以看出,似乎没有办法做到这一点。

如此处所述,“设备代码”OAuth2 授权类型明确用于无浏览器身份验证但 AWS SSO SDK 似乎无法支持这一点。

将不胜感激有关此问题的任何想法/想法/帮助。

谢谢你,维什

0 投票
1 回答
2444 浏览

amazon-web-services - 作为 SSO 解决方案的 Okta 与 AWS SSO 比较

哪个是 SSO 实施 AWS SSO 与 Okta 的最佳选择?我专门寻找每种服务的优点和缺点,以确定最适合我的系统。这些考虑最重要

  1. 成本

  2. 集成 - 支持与现有目录服务和移动/Web 应用程序(SAML、ADFS 等)集成

  3. 易于访问日志以进行审计

0 投票
2 回答
2174 浏览

amazon-web-services - 使用 GSuite/Google Workspace 作为 IdP 和 AWS SSO 时,为什么会收到 Invalid MFA 错误

我已按照此博客文章中的说明将 GSuite 配置为我们的 AWS SSO 服务的身份提供商。当我访问我的 SSO 用户门户 URL(即https://d-1234567890.awsapps.com/start)时,我被正确重定向到 accounts.google.com ,在那里我进行身份验证并被重定向回 AWS SSO。此时我收到来自 aws 的错误(网址https://us-west-2.signin.aws.amazon.com/platform/saml/acs/SOME-UUID)。

错误是:

据我所知,您无法在 AWS SSO 中使用外部身份提供商配置 MFA。

FWIW,我已经测试了使用 AWS SSO 作为身份提供者设置 AWS SSO 并设置 MFA 并且它有效。

0 投票
1 回答
95 浏览

amazon-web-services - 有没有办法使用 AWS IAM 的另一个托管策略从托管策略中“删除”某些操作

我目前正在研究 IAM 和 Access,我正在从角色切换到权限集(以使用 AWS SSO)。我有许多自定义托管策略,现在无法与权限集一起使用,因此我使用 AWS 托管策略,例如:PowerUserAccess、ViewOnlyAccess 等。

其中一些非常接近我的需要,但有太多的动作。让我们以 PowerUserAccess 为例。

PowerUserAccess 提供所有 GuardDuty 操作。我想阻止所有写操作。完美的 AWS 托管策略是:GuardDutyReadOnlyAccess。

有没有一种简单的方法来做“减法”?

PowerUserAccess - “不是”GuardDutyReadOnly?

如:

还是我必须执行内联策略并恢复 GuarddutyPolicy?如果可能,我想避免内联策略。

谢谢!