问题标签 [aws-sso]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
181 浏览

amazon-web-services - 如何将现有 AWS IAM 用户迁移到 AWS SSO 跨账户?

目前,我在另一个账户中有一堆 IAM 用户(未绑定到 AWS SSO)。

我最近开始使用 AWS-SSO 来管理多个账户和用户。我发现它非常有效且易于管理。

问:如何将用户从另一个 AWS 账户移动/迁移到我当前账户中的 AWS SSO?

我找到了一些关于如何将账户移动到组织单位 (OU) 的资源,但我在 AWS SSO 账户中看不到任何本地用户。

0 投票
1 回答
55 浏览

amazon-web-services - AWS SSO 应用程序中的属性映射如何与 Azure 用户名一起使用?

我正在按照本教程在 AWS 中创建 EUC 仪表板。要登录仪表板,您应该链接 SSO 和 Cognito。不幸的是,我的环境与教程中的环境不同:

我的用户管理在 Microsoft Azure 上运行,AWS SSO 检查 Azure 进行身份验证。用户只有一个用户名(以电子邮件的形式),而不是电子邮件。在本教程中,(在模块 2,步骤 4,§18)SSO 应用程序的属性映射通过将 ${user.email} 映射到此模式来完成http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

相反,我想映射我的用户名。

我已经阅读了 AWS 文档中的属性映射,但这还不足以让我解决这个问题。

如何使这项工作适用于我的设置?

0 投票
0 回答
99 浏览

amazon-web-services - 为什么控制塔帐户也需要 SSO 用户

为什么在通过 AWS Control Tower Account Factory 创建新的 AWS 账户时还需要创建 SSO 用户?已经有一封用于 root 用户的电子邮件,AWS SSO无论如何您都可以分配用户/组,那么创建 SSO 用户的目的是什么?您可能不想要新用户,还是我应该简单地输入现有 SSO 用户的电子邮件?

0 投票
0 回答
114 浏览

amazon-web-services - AWS SSO SCIM 访问令牌到期通知

有没有人找到在 SCIM 访问令牌到期日期临近时自动收到通知的方法?这是为了帮助将外部身份提供程序用于带有 Azure AD 的 SSO。AzureAD 在 SAML 证书到期前 90、60、30 和 7 天自动通知您,但是对于在 AWS 端使用访问令牌生成的 SSO 配置,似乎没有一种方法可以自动通知该令牌即将到期时的用户。任何帮助将不胜感激。

0 投票
0 回答
54 浏览

amazon-web-services - AWS SSO:门户自定义 URL

我正在尝试使用 azure ad 登录来访问 AWS 管理控制台。我已更改所有配置,但找不到更改 AWS 使用的门户 URL 的选项。

谁能帮我理解,我如何修改门户 URL 以使用我的自定义域名(如 sso.example.com)?

[注意:我已经浏览了 AWS 文档。在文档中,提到我们可以更改 awsapps.com 域的子域,但我看不到如何将域从 awsapps.com 更改为 example.com]

0 投票
1 回答
107 浏览

amazon-web-services - AWS PowerShell 自定义 SSO 回调:在此线程中没有可用于运行脚本的运行空间

我正在使用下面的 PowerShell (v7) 脚本来自定义 AWS SSO 登录流程。它基于有效的 .net 实现:

错误

当我在 Powershell (v7) 中运行此脚本时,出现异常:

此线程中没有可用于运行脚本的运行空间。 您可以在 System.Management.Automation.Runspaces.Runspace 类型的 DefaultRunspace 属性中提供一个。您尝试调用的脚本块是: param($x) ...cationUriComplete

看起来在调用我的脚本委托时出现问题$ssoCredentials.Options.SsoVerificationCallback

问题

如何配置我的脚本/PowerShell 会话,以便我的SsoVerificationCallback委托执行而不会引发错误?

研究

我猜这个问题与调用 SsoVerificationCallback 委托的 C# 代码有关,它现在是一个 PSScriptBlock(?),并且在 C# 和 PowerShell 之间来回编组出现问题。

环顾 SO,SsoVerificationCallback调用不是 Async,尽管它是在 async method 内部调用的GetSsoTokenAsync,所以我不认为Runspace issus using async APIs from Powershell适用。

而且我没有直接拨打网络电话,因此请在博客中提供提示,例如https://www.agilepointnxblog.com/powershell-error-there-is-no-runspace-available-to-run-scripts-in-this -thread/推荐的设置[System.Net.ServicePointManager]::ServerCertificateValidationCallback = $null也没有产生任何影响。

0 投票
0 回答
105 浏览

powerbi - 带有 AWS SSO 的 Simba Athena ODBC 驱动程序

我的公司目前设置为使用 AWS SSO 来访问查询 AWS Athena。我已将 Simba Athena ODBC 驱动程序配置为使用从控制台获得的 IAM 凭证,但每次会话到期时复制和粘贴它们是令人讨厌的过程。

“IAM 配置文件”或“实例配置文件”身份验证选项都没有使用我在 ~/.aws/config 中设置的命名配置文件。

是否有任何人都知道的解决方法?

0 投票
1 回答
162 浏览

amazon-web-services - EKS 的 AWS SSO 授权无法调用 sts:AssumeRole

我正在迁移到 AWS SSO 以进行 cli 访问,到目前为止,它适用于除 kubectl 之外的所有内容。在对其进行故障排除时,我遵循了一些指南,这意味着我最终做出了一些货物崇拜行为,而且我显然在我的心智模型中遗漏了一些东西。

kubectl 获取 pod

调用 AssumeRole 操作时发生错误 (AccessDenied):用户:arn:aws:sts:::assumed-role/AWSReservedSSO_DeveloperReadonly_a6a1426b0fdf9f87/ 无权执行:sts:AssumeRole on resource:arn:aws:iam:::role/ aws-reserved/sso.amazonaws.com/us-east-2/AWSReservedSSO_DeveloperReadonly_a6a1426b0fdf9f87

有趣的是,它似乎试图承担它已经使用的相同角色,但我不知道如何解决它。

~/.aws/config (子集 - 我有其他配置文件,但它们在这里不相关)

~/.kube/config(删除了集群)

aws-auth mapRoles 片段

我错过了什么明显的东西?我已经查看了具有类似问题的其他 stackoverflow 帖子,但没有一个具有arn:aws:sts:::assumed-role -> arn:aws:iam:::role路径。

0 投票
1 回答
68 浏览

python - 调用 AWS SSO 权限集时从 Lambda 函数获取 AccessDeniedException

以下是我为 AWS SSO 权限集添加/更新内联策略的 Python 代码:

我收到错误消息:

"errorMessage": "调用 PutInlinePolicyToPermissionSet 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::ddddddd:assumed-role/Modify_Permission_Set-role-ssss/Modify_Permission_Set 无权执行:sso:PutInlinePolicyToPermissionSet on resource : arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss"

我尝试为执行该函数的 Lambda 角色添加管理员策略,但仍然被拒绝权限。

是否有与常规 IAM 权限不同的方式来处理 SSO 权限集?

附加到 Lambda 的管理策略

0 投票
0 回答
27 浏览

amazon-web-services - 我可以使用 AWS SSO 作为 Cognito 中的外部 IdP

我实际上之前已经这样做过,但无法弄清楚我使用的设置):

基本上我想将 AWS SSO 设置为 Cognito 的外部 IdP。我之前通过 SAML 完成了此操作,但我不记得我在 AWS SSO 部分的应用程序设置中使用了哪些值,我认为是:

  • 应用 ACS URL:https://{full custom domain}/saml2/idpresponse
  • 应用程序 SAML 受众 {cognito userpool id}

但这行不通。