我不能尽我所能尝试。我有一个 AWS SSO（以 Microsoft AD 作为身份源）。

我做了什么：

开放搜索

• 创建了具有公共网络和启用 SAML 以及细粒度访问的 Opensearch
• 检查Service provider entity ID,IdP-initiated SSO URL和SP-initiated SSO URL

AWS SSO

• 创建自定义 SAML 应用程序
• 下载了应用元数据
• 配置属性映射：Subject : ${user:email}
• 设置Application ACS URL : {IdP-initiated SSO - but have also tried SP-initiated SSO URL}
• 设置Application SAML audience : {Service provider entity ID}

开放搜索

• 导入应用程序元数据 XML
• 访问策略 - 尝试了“仅使用细粒度访问控制，不设置域级别访问策略，配置域级别访问策略”的所有排列

我没有运气。根据我的尝试，我得到了不同的错误，例如，idpinitiated无论我是直接转到仪表板还是单击 AWS SSO 中的应用程序，我都会得到这个：

我想利用 AWS SSO 并将其集成到 G Suite 中。我关注了官方博客文章 - https://aws.amazon.com/blogs/security/how-to-use-g-suite-as-external-identity-provider-aws-sso/

但是，我无法通过提到的 ssosync 项目 - https://github.com/awslabs/ssosync将用户从 G 套件同步到 AWS SSO 。关于 ssosync 在 AWS Serverless Application Repository 中不再可用的事实存在一个未解决的问题。我尝试手动克隆和构建项目，但出现 404 错误，我找不到原因。

我也找不到在 AWS SSO 中以编程方式创建用户/组的方法（在 AWS SSO API 参考中没有找到任何有用的东西）。

有没有人也遇到过这个问题？

我们正在使用联合和角色切换，目前不需要使用必须通过帐户工厂创建的 SSO 管理员用户。理想情况下，我们想删除它们，但我担心控制塔漂移。我也会考虑禁用它们和/或对它们施加高度限制的 SCP（我认为这是我们最有可能的情况）。

我们想要一个选项，其中我们不需要拥有与管理员用户使用的相同类型的例程，这些例程实际上已被使用或有可能具有有效的用例。

问题陈述：

我们有许多 s3 存储桶，其中一些包括PII。作为我们内部审计程序的一部分，我们需要生成一份每日报告，概述谁访问了这些存储桶（如果有的话）。

约束：

• 这需要通过 AWS SDK 完成（使用任何可能的语言）
• 重要：我们所有的员工都使用 AWS SSO 访问存储桶

我认为一种解决方案可能是启用这些存储桶的访问日志并解析日志，但我想知道这是一个好主意还是有人有更好的解决方案。谢谢！

我有一个 AWS OpenSearch 的实现，我可以使用主密码/用户组合访问它。

我们的 AWS 实施使用 AWS SSO 通过控制台访问账户。我在 AWS SSO 中配置了一个自定义 SAML 2.0 应用程序并在 OpenSearch 中启用了 SAML。

• 服务提供商实体 ID (OS) 已复制并映射到应用程序 ACS URL (AWS SSO)
• IdP 发起的 SSO URL (OS) 已复制并映射到应用程序 SAML 受众 (SSO)
• AWS SSO SAML 元数据文件已下载 (SSO) 并作为 IdP 元数据 (OS) 导入。

属性映射如下

我已将自己指定为用户 (SSO)，并使用与 SAML 主用户名 (OS) 相同的电子邮件。

单击 AWS 中的自定义 Web 应用程序图标时出现以下错误

{"statusCode":500,"error":"Internal Server Error","message":"Internal Error"}

此设置中的哪些配置不正确？

我有一堆想要通过 API 列出的 AWS SSO 组，以便获取名称和 GroupID。API 调用 ListGroups ( https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_ListGroups.html ) 非常没用。它必须对 DisplayName 进行过滤，并且当前需要一个值。据我通过旧的 AWS 论坛所知，不允许通配符搜索和公正搜索。我自己用boto3 SDK尝试过（公正和通配符），不。之后，我想使用现有的 API 调用将权限集分配给所述组。

AWS 不会是认真的，因为他们没有 API 调用来列出存在的组？

无论如何，在 AWS 中我们可以看到谁接受了发送到他们电子邮件的 SSO 邀请？我的组织刚刚转移到 SSO 登录，我已经向大约 250 多个用户发送了邀请，但其中一些用户仍然没有接受邀请。想知道如何找到尚未接受邀请的人？

我正在尝试从 dbeaver 连接到 AWS Athena。文档说我可以使用 AWS SSO https://dbeaver.com/docs/wiki/AWS-SSO做到这一点。

我浏览了所有选项，但找不到这样的配置。我使用的是 21.3.5 版本。

谁能帮我在哪里找到这样的配置？

我正在遵循本指南，但它不起作用，我的要求是将“权限集”（例如“支持用户”）分配给包含 AWS Organizations 中的多个账户的特定 OU

但我没有看到 AWS 的示例工作，有没有不使用标签的方法？并且只允许将我的权限设置为特定 OU 的特定内容？

例如？我的 SSO 实例：

arn:aws:sso:::instance/ssoins-722XXXXXXXXX85

我在 AWS 组织中的特定 ou：

arn:aws:organizations::662XXXXXX94:ou/o-akoxg86wr1/ou-xlq4-vhybzk32

来源： AWS-SSO-org

任何指针？非常感谢

} 在此处输入代码

我想自动创建 sso 用户。据我了解，没有办法以编程方式执行此操作（如果我错了，请纠正我）但可以通过模拟 SCIM 服务器来完成，如下所述： https ://aws.amazon.com/de/blogs/安全/如何批量导入用户和组-从-csv-into-aws-sso/

但我已经陷入了假设部分：

您使用 AWS SSO 配置了 SAML IdP，如如何为 AWS Single Sign-On 配置 SAML 2.0 中所述。

在那个页面上它说：

5. 湾。在身份提供者元数据下，选择选择文件，然后找到您从外部身份提供者下载的元数据文件。然后上传文件。此元数据文件包含必要的公共 x509 证书，用于信任从 IdP 发送的消息。

但我没有这样的文件，因为我没有实际的外部身份提供者。但我必须投入一些东西才能继续。我可以将什么用作身份提供者元数据来使用模拟 SCIM 服务器？

摆弄

提供一个空文件

失败：
2 个中的 2 个未能完成。

• 创建外部身份提供者配置 IdP 元数据或 IdP 配置参数应该存在
• 启用外部身份提供者

提供在 5.a 中下载的服务提供者元数据

失败：
2 个中的 2 个未能完成。

• 创建外部身份提供者配置无法在提供的 idp 元数据对象中找到 IDPSSODescriptor
• 启用外部身份提供者