步骤 5：添加申明发布规则至依赖方

在依赖方信任窗口（Relying Party Trusts）中，右键单击依赖方信任（例如 Cognito 用户池）并选择编辑申明发布策略（Edit Claim Issuance Policy）。
在编辑申明发布策略（Edit Claim Issuance Policy）对话框中单击添加规则。“添加转换申请规则向导”随即打开。
在选择规则模板（Select Rule Template）页面中，为申明规则模板（Claim Rule Template）选择发送 LDAP 属性作为申明（Send LDAP Attributes as Claims），并单击下一步。
在配置规则 页面中，执行以下操作：
- 键入申明规则名称（例如电子邮件）。
- 对于属性仓库（Attribute Store），请选择 Active Directory。
- 选择一个 LDAP 属性（LDAP Attribute），然后选择**传出申明类型（Outgoing Claim Type）**以映射该属性。
- 确保映射 NameId 和 Email 的属性。具有默认配置的 Amazon Cognito 用户池需要这些属性_。_
- 确保登录用户具有 NameId 和 Email 的源 LDAP 属性。在下面的用户属性示例中，显示名称作为 NameId 属性传递，电子邮件作为 Email 属性传递
单击确定，并在编辑申明规则（Edit Claim Rules）对话框中再次单击确定。

步骤 6：将 ADFS 作为 SAML IdP 添加到 Cognito 用户池中

开始此任务前，确认以下 URL 在 ADFS 服务器上可用。您可以在此下载元数据文档：https:///FederationMetadata/2007-06/FederationMetadata.xml

在“属性映射”选项卡中，为 SAML 属性键入以下字符串：_http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
_
对于用户池属性，请选择电子邮件 > 保存。

访问 Kibana 终端节点。
为联合登录选择 ADFS IdP。
如果您禁用非联合用户登录，系统将提示您在以下对话框中进行登录：
选择将重定向至 ADFS 身份验证控制台的 ADFS。
如果您保持允许非联合用户登录，系统将提示您在以下对话框中进行登录。您可以选择要在登录时使用的身份提供商。选择将重定向至 ADFS 身份验证控制台的 ADFS。
使用 ADFS 登录后，您将被重定向到 Kibana 控制台，并且可以开始使用该控制台。

在本博文中，我们提供了通过 ADFS 和 SAML 2.0 集成 Active Directory 与 Amazon Elasticsearch Service /Kibana 与 Amazon Cognito 身份验证的过程。

Kibana 是一个适用于数据分析使用案例的强大工具，如应用程序监控、日志分析和点击流分析。我们希望此文可帮助您将 Amazon Elasticsearch Service with 与您的 AD 集成。

作者介绍：

!

### 谷雷

AWS APN 合作伙伴解决方案架构师，主要负责 AWS (中国)合作伙伴的方案架构咨询和设计工作，同时致力于 AWS 云服务在国内的应用及推广。

本文转载自AWS技术博客。