步骤 5:添加申明发布规则至依赖方
-
在依赖方信任窗口(Relying Party Trusts)中,右键单击依赖方信任(例如 Cognito 用户池)并选择编辑申明发布策略(Edit Claim Issuance Policy)。
-
在编辑申明发布策略(Edit Claim Issuance Policy)对话框中单击添加规则。“添加转换申请规则向导”随即打开。
-
在选择规则模板(Select Rule Template)页面中,为申明规则模板(Claim Rule Template)选择发送 LDAP 属性作为申明(Send LDAP Attributes as Claims),并单击下一步。
-
在配置规则 页面中,执行以下操作:
- 键入申明规则名称(例如电子邮件)。
- 对于属性仓库(Attribute Store),请选择 Active Directory。
- 选择一个 LDAP 属性(LDAP Attribute),然后选择 ** 传出申明类型(Outgoing Claim Type)** 以映射该属性。
- 确保映射 NameId 和 Email 的属性。具有默认配置的 Amazon Cognito 用户池需要这些属性_。_
- 确保登录用户具有 NameId 和 Email 的源 LDAP 属性。在下面的用户属性示例中,显示名称作为 NameId 属性传递,电子邮件作为 Email 属性传递
-
单击确定,并在编辑申明规则(Edit Claim Rules)对话框中再次单击确定。
步骤 6:将 ADFS 作为 SAML IdP 添加到 Cognito 用户池中
开始此任务前,确认以下 URL 在 ADFS 服务器上可用。您可以在此下载元数据文档:https://
- 在 Amazon Cognito 控制台中访问身份提供商并选择 SAML。
- 对于元数据文档 ****(Metadata Document),单击选择文件并上传从 ADFS 服务器下载的元数据文档。或者,您可以直接指定 URL,但您的 ADFS SAML 元数据文档必须可以通过互联网访问。
- 对于提供商名称,请键入您的身份提供商名称,如 ADFS。
- 选择创建提供商(Create Provider)。
步骤 7:添加映射规则以提供电子邮件属性
-
在“属性映射”选项卡中,为 SAML 属性键入以下字符串:_http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
_ -
对于用户池属性,请选择电子邮件 > 保存。
步骤 8:使用应用程序客户端启用 SAML 登录
- 在 Amazon Cognito 的左侧导航窗格中,选择应用程序客户端设置(App Client Settings.)。
- 对于已启用的身份提供商(Enabled Identity Providers),请选择身份提供商名称(例如 ADFS)复选框。
- 如果您希望禁用非联合用户登录,请清除 Cognito 用户池复选框(Cognito User Pool)。
步骤 9:确认 Active Directory 用户的访问权
-
访问 Kibana 终端节点。
-
为联合登录选择 ADFS IdP。
-
如果您禁用非联合用户登录,系统将提示您在以下对话框中进行登录:
-
选择将重定向至 ADFS 身份验证控制台的 ADFS。
-
如果您保持允许非联合用户登录,系统将提示您在以下对话框中进行登录。您可以选择要在登录时使用的身份提供商。选择将重定向至 ADFS 身份验证控制台的 ADFS。
-
使用 ADFS 登录后,您将被重定向到 Kibana 控制台,并且可以开始使用该控制台。
小结
在本博文中,我们提供了通过 ADFS 和 SAML 2.0 集成 Active Directory 与 Amazon Elasticsearch Service /Kibana 与 Amazon Cognito 身份验证的过程。
Kibana 是一个适用于数据分析使用案例的强大工具,如应用程序监控、日志分析和点击流分析。我们希望此文可帮助您将 Amazon Elasticsearch Service with 与您的 AD 集成。
请查看我们的 APN 博客系列第二篇:将 Amazon Elasticsearch Service 与 Kibana 结合用于联合身份 – Auth0 。
作者介绍:
本文转载自 AWS 技术博客。
评论