Я работаю над веб-сайтом, развернутым в AWS с использованием S3 в качестве хранилища и CloudFront CDN. Это статический веб-сайт с одним файлом HTML, использующим JS для отображения содержимого на основе строки запроса. Владелец - это предприятие, которое уже установило систему единого входа в своей организации, они используют IBM Tivoli в качестве IdP. Часть, которую мне не хватает, - это как генерируется запрос на авторизацию?
Я прочитал это:
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml. / а> <а href = "http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html" rel = "nofollow noreferrer"> http://docs.aws.amazon.com/IAM/latest/ UserGuide / id_roles_providers_create_saml_relying-party.html
Многие из них близки, но не соответствуют действительности. Это не экземпляр EC2, это не Elastic Beanstalk, я не пытаюсь получить доступ к консоли AWS, и они не используют AD для SSO. Это просто сайт.
Пока у меня есть:
- создал поставщика SAML в AWS и импортировал метаданные из своего IdP.
- создал роль IAM
- установили доверительные отношения между ролью и поставщиком
- установил разрешение s3: getObject для роли
- предоставил им метаданные из AWS со спецификой утверждений SAML, которые необходимо предоставить.
Мой вопрос в том, как связаны две стороны. Выполняется ли это автоматически AWS, когда кто-либо пытается получить доступ к сайту? Создает ли предприятие на своем портале специальную ссылку для запуска сайта с SAML? Что произойдет, если пользователь просто наберет доменное имя в браузере? Нужно ли добавлять код на сайт?
TIA, Майк