问题标签 [aws-sso]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 适用于 Opensearch 的 AWS SSO SAML
我不能尽我所能尝试。我有一个 AWS SSO(以 Microsoft AD 作为身份源)。
我做了什么:
开放搜索
- 创建了具有公共网络和启用 SAML 以及细粒度访问的 Opensearch
- 检查
Service provider entity ID
,IdP-initiated SSO URL
和SP-initiated SSO URL
AWS SSO
- 创建自定义 SAML 应用程序
- 下载了应用元数据
- 配置属性映射:
Subject : ${user:email}
- 设置
Application ACS URL : {IdP-initiated SSO - but have also tried SP-initiated SSO URL}
- 设置
Application SAML audience : {Service provider entity ID}
开放搜索
- 导入应用程序元数据 XML
- 访问策略 - 尝试了“仅使用细粒度访问控制,不设置域级别访问策略,配置域级别访问策略”的所有排列
我没有运气。根据我的尝试,我得到了不同的错误,例如,idpinitiated
无论我是直接转到仪表板还是单击 AWS SSO 中的应用程序,我都会得到这个:
single-sign-on - AWS SSO 与 G 套件的集成
我想利用 AWS SSO 并将其集成到 G Suite 中。我关注了官方博客文章 - https://aws.amazon.com/blogs/security/how-to-use-g-suite-as-external-identity-provider-aws-sso/
但是,我无法通过提到的 ssosync 项目 - https://github.com/awslabs/ssosync将用户从 G 套件同步到 AWS SSO 。关于 ssosync 在 AWS Serverless Application Repository 中不再可用的事实存在一个未解决的问题。我尝试手动克隆和构建项目,但出现 404 错误,我找不到原因。
我也找不到在 AWS SSO 中以编程方式创建用户/组的方法(在 AWS SSO API 参考中没有找到任何有用的东西)。
有没有人也遇到过这个问题?
aws-sso - 我们可以删除或禁用 AWS Control Tower Account Factory 创建的 AWS SSO 管理员吗?
我们正在使用联合和角色切换,目前不需要使用必须通过帐户工厂创建的 SSO 管理员用户。理想情况下,我们想删除它们,但我担心控制塔漂移。我也会考虑禁用它们和/或对它们施加高度限制的 SCP(我认为这是我们最有可能的情况)。
我们想要一个选项,其中我们不需要拥有与管理员用户使用的相同类型的例程,这些例程实际上已被使用或有可能具有有效的用例。
amazon-s3 - 使用 AWS 开发工具包生成 s3 访问日志
问题陈述:
我们有许多 s3 存储桶,其中一些包括PII。作为我们内部审计程序的一部分,我们需要生成一份每日报告,概述谁访问了这些存储桶(如果有的话)。
约束:
- 这需要通过 AWS SDK 完成(使用任何可能的语言)
- 重要:我们所有的员工都使用 AWS SSO 访问存储桶
我认为一种解决方案可能是启用这些存储桶的访问日志并解析日志,但我想知道这是一个好主意还是有人有更好的解决方案。谢谢!
amazon-web-services - AWS SSO/AWS Opensearch SAML 集成
我有一个 AWS OpenSearch 的实现,我可以使用主密码/用户组合访问它。
我们的 AWS 实施使用 AWS SSO 通过控制台访问账户。我在 AWS SSO 中配置了一个自定义 SAML 2.0 应用程序并在 OpenSearch 中启用了 SAML。
- 服务提供商实体 ID (OS) 已复制并映射到应用程序 ACS URL (AWS SSO)
- IdP 发起的 SSO URL (OS) 已复制并映射到应用程序 SAML 受众 (SSO)
- AWS SSO SAML 元数据文件已下载 (SSO) 并作为 IdP 元数据 (OS) 导入。
属性映射如下
我已将自己指定为用户 (SSO),并使用与 SAML 主用户名 (OS) 相同的电子邮件。
单击 AWS 中的自定义 Web 应用程序图标时出现以下错误
{"statusCode":500,"error":"Internal Server Error","message":"Internal Error"}
此设置中的哪些配置不正确?
amazon-web-services - 通过 API 列出来自 AWS SSO 的所有组?
我有一堆想要通过 API 列出的 AWS SSO 组,以便获取名称和 GroupID。API 调用 ListGroups ( https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_ListGroups.html ) 非常没用。它必须对 DisplayName 进行过滤,并且当前需要一个值。据我通过旧的 AWS 论坛所知,不允许通配符搜索和公正搜索。我自己用boto3 SDK尝试过(公正和通配符),不。之后,我想使用现有的 API 调用将权限集分配给所述组。
AWS 不会是认真的,因为他们没有 API 调用来列出存在的组?
amazon-web-services - 查找已接受 AWS SSO 邀请的用户
无论如何,在 AWS 中我们可以看到谁接受了发送到他们电子邮件的 SSO 邀请?我的组织刚刚转移到 SSO 登录,我已经向大约 250 多个用户发送了邀请,但其中一些用户仍然没有接受邀请。想知道如何找到尚未接受邀请的人?
amazon-web-services - 使用来自 dBeaver 的 AWS SSO 连接到 AWS Athena
我正在尝试从 dbeaver 连接到 AWS Athena。文档说我可以使用 AWS SSO https://dbeaver.com/docs/wiki/AWS-SSO做到这一点。
我浏览了所有选项,但找不到这样的配置。我使用的是 21.3.5 版本。
amazon-web-services - 将特定 SSO 权限集分配给 AWS 组织中的特定 OU
我正在遵循本指南,但它不起作用,我的要求是将“权限集”(例如“支持用户”)分配给包含 AWS Organizations 中的多个账户的特定 OU
但我没有看到 AWS 的示例工作,有没有不使用标签的方法?并且只允许将我的权限设置为特定 OU 的特定内容?
例如?我的 SSO 实例:
arn:aws:sso:::instance/ssoins-722XXXXXXXXX85
我在 AWS 组织中的特定 ou:
arn:aws:organizations::662XXXXXX94:ou/o-akoxg86wr1/ou-xlq4-vhybzk32
来源: AWS-SSO-org
任何指针?非常感谢
} 在此处输入代码
amazon-web-services - 如何通过模拟SCIM服务器创建sso用户?
我想自动创建 sso 用户。据我了解,没有办法以编程方式执行此操作(如果我错了,请纠正我)但可以通过模拟 SCIM 服务器来完成,如下所述: https ://aws.amazon.com/de/blogs/安全/如何批量导入用户和组-从-csv-into-aws-sso/
但我已经陷入了假设部分:
您使用 AWS SSO 配置了 SAML IdP,如如何为 AWS Single Sign-On 配置 SAML 2.0 中所述。
在那个页面上它说:
- 湾。在身份提供者元数据下,选择选择文件,然后找到您从外部身份提供者下载的元数据文件。然后上传文件。此元数据文件包含必要的公共 x509 证书,用于信任从 IdP 发送的消息。
但我没有这样的文件,因为我没有实际的外部身份提供者。但我必须投入一些东西才能继续。我可以将什么用作身份提供者元数据来使用模拟 SCIM 服务器?
摆弄
提供一个空文件
失败:
2 个中的 2 个未能完成。
- 创建外部身份提供者配置 IdP 元数据或 IdP 配置参数应该存在
- 启用外部身份提供者
提供在 5.a 中下载的服务提供者元数据
失败:
2 个中的 2 个未能完成。
- 创建外部身份提供者配置无法在提供的 idp 元数据对象中找到 IDPSSODescriptor
- 启用外部身份提供者