ฉันกำลังทำงานกับเว็บไซต์ที่ใช้งานกับ AWS โดยใช้ S3 เป็นที่เก็บข้อมูลและ CloudFront CDN เป็นเว็บไซต์แบบคงที่ที่มีไฟล์ html ไฟล์เดียวโดยใช้ JS เพื่อแสดงเนื้อหาตามสตริงการสืบค้น เจ้าของเป็นองค์กรที่ได้จัดตั้ง SSO ภายในองค์กรของตนแล้ว โดยใช้ IBM Tivoli เป็น IdP ส่วนที่ขาดหายไปคือคำขออนุญาตเกิดขึ้นได้อย่างไร
ฉันได้อ่านสิ่งเหล่านี้แล้ว:
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html http://docs.aws.amazon.com/IAM/ล่าสุด/UserGuide/id_roles_create_for-idp_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html
สิ่งเหล่านี้หลายรายการอยู่ใกล้แต่ไม่อยู่ในเครื่องหมาย ไม่ใช่อินสแตนซ์ EC2 ไม่ใช่ Elastic Beanstalk ฉันไม่ได้พยายามเข้าถึงคอนโซล AWS และพวกเขาไม่ได้ใช้ AD สำหรับ SSO มันเป็นเพียงเว็บไซต์
จนถึงตอนนี้ฉันมี:
- สร้างผู้ให้บริการ SAML ใน AWS และนำเข้าข้อมูลเมตาจาก IdP
- สร้างบทบาท IAM
- สร้างความสัมพันธ์ความไว้วางใจระหว่างบทบาทและผู้ให้บริการ
- สร้างสิทธิ์ s3:getObject สำหรับบทบาทนี้
- ให้ข้อมูลเมตาจาก AWS พร้อมข้อมูลเฉพาะเกี่ยวกับการยืนยัน SAML ที่ต้องระบุ
คำถามของฉันคือทั้งสองฝ่ายเชื่อมโยงกันอย่างไร AWS จะทำโดยอัตโนมัติเมื่อมีใครพยายามเข้าถึงไซต์หรือไม่ องค์กรสร้างลิงก์พิเศษในพอร์ทัลเพื่อเริ่มต้นไซต์ด้วย SAML หรือไม่ จะเกิดอะไรขึ้นหากผู้ใช้เพียงพิมพ์ชื่อโดเมนในเบราว์เซอร์? จำเป็นต้องเพิ่มรหัสในเว็บไซต์หรือไม่?
ทีไอเอ, ไมค์