将 Azure AD 与 AWS EKS 原生 OIDC 集成答案

【问题标题】：Integrating Azure AD with AWS EKS native OIDC将 Azure AD 与 AWS EKS 原生 OIDC 集成
【发布时间】：2021-08-28 03:04:42
【问题描述】：

我们有自己的使用 kops 构建的 Kubernetes 集群。我们使用 Azure AD 和 Dex 进行身份验证。现在我们计划迁移到 AWS EKS 并希望使用 Azure AD，这样我们就不必在 IAM 中重新创建所有用户。

有没有办法将现有的 Azure AD 与 AWS EKS 原生 OIDC 集成？

如果是，您能否帮我完成这些步骤或将我链接到相同的文档？

AWS 上的文档需要我们使用更多的 AWS 服务，我认为这无论如何都是 Azure AD 的复制。

【问题讨论】：

【解决方案1】：

有趣的问题 - 我自己并没有这样做，如果我误解了什么，我深表歉意。以下是从 OAuth 角度来看的一些第一印象，他们使用了这两个提供程序。我对你的进展很感兴趣，因为我可能会在不久的将来研究这种类型的解决方案。

查看AWS EKS OIDC Docs 看起来这应该是使用 Associate Identity Provider 选项的情况，然后输入 Azure AD 颁发者 URL，并可能添加一个 '.well-known/元数据端点的 openid-configuration' 后缀：

在您的场景中，我的目标是完全避免使用 AWS Cognito 并仅使用 Azure AD 作为您的 IAM 系统，因为这会减少很多复杂性。然后，您需要测试并查看是否存在任何阻塞问题。

我们一直希望主要云提供商的解决方案是基于标准的，但供应商特定的行为往往意味着它们不能很好地协同工作 - 但希望这个能奏效。

另一种选择是在 Cognito 和 Azure AD 之间进行 OIDC 联合登录，如 this blog post of mine，其中：

这需要您运行 2 个 IAM 系统并处理帐户关联匹配，因此我只会将其用作最后的手段。

【讨论】：

您好，Gary，非常感谢您的回复！我会尝试看看我是否可以实施您给出的第一个建议。但是，我做了一些阅读，我正在考虑将 Azure AD 中的用户与 AWS AD 实际同步。这是我们不必在两个地方管理用户。但是，如果我们同步用户，我仍然不确定如何实现 SSO。
如果是简单的数据复制并且您不必处理 2 个授权服务器（例如 Azure AD + Cognito），这听起来不错。关键是 OAuth 应该基于 HTTPS URL，因此 AWS 应该能够使用外部提供商。希望成功！