เชื่อมต่อ AWS CloudFront กับการลงชื่อเพียงครั้งเดียว (SSO)

ฉันกำลังทำงานกับเว็บไซต์ที่ใช้งานกับ AWS โดยใช้ S3 เป็นที่เก็บข้อมูลและ CloudFront CDN เป็นเว็บไซต์แบบคงที่ที่มีไฟล์ html ไฟล์เดียวโดยใช้ JS เพื่อแสดงเนื้อหาตามสตริงการสืบค้น เจ้าของเป็นองค์กรที่ได้จัดตั้ง SSO ภายในองค์กรของตนแล้ว โดยใช้ IBM Tivoli เป็น IdP ส่วนที่ขาดหายไปคือคำขออนุญาตเกิดขึ้นได้อย่างไร

ฉันได้อ่านสิ่งเหล่านี้แล้ว:

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html http://docs.aws.amazon.com/IAM/ล่าสุด/UserGuide/id_roles_create_for-idp_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html

สิ่งเหล่านี้หลายรายการอยู่ใกล้แต่ไม่อยู่ในเครื่องหมาย ไม่ใช่อินสแตนซ์ EC2 ไม่ใช่ Elastic Beanstalk ฉันไม่ได้พยายามเข้าถึงคอนโซล AWS และพวกเขาไม่ได้ใช้ AD สำหรับ SSO มันเป็นเพียงเว็บไซต์

จนถึงตอนนี้ฉันมี:

• สร้างผู้ให้บริการ SAML ใน AWS และนำเข้าข้อมูลเมตาจาก IdP
• สร้างบทบาท IAM
• สร้างความสัมพันธ์ความไว้วางใจระหว่างบทบาทและผู้ให้บริการ
• สร้างสิทธิ์ s3:getObject สำหรับบทบาทนี้
• ให้ข้อมูลเมตาจาก AWS พร้อมข้อมูลเฉพาะเกี่ยวกับการยืนยัน SAML ที่ต้องระบุ

คำถามของฉันคือทั้งสองฝ่ายเชื่อมโยงกันอย่างไร AWS จะทำโดยอัตโนมัติเมื่อมีใครพยายามเข้าถึงไซต์หรือไม่ องค์กรสร้างลิงก์พิเศษในพอร์ทัลเพื่อเริ่มต้นไซต์ด้วย SAML หรือไม่ จะเกิดอะไรขึ้นหากผู้ใช้เพียงพิมพ์ชื่อโดเมนในเบราว์เซอร์? จำเป็นต้องเพิ่มรหัสในเว็บไซต์หรือไม่?

ทีไอเอ, ไมค์