我一直在研究是否可以将 Shibboleth/SAML 与 Amazon Web Services 一起使用。
我发现这方面的信息很少。据我所知,可以在 EC2 服务器上安装 Shibboleth/SAML 作为服务提供者。
我不太确定是否可以将所有 AWS 与 Shibboleth 联系起来 - 以及这将如何工作。
我对这三个方面的了解都模糊不清 - 我已经阅读了大量内容,但我对这项技术一点也不熟悉。
【问题讨论】:
标签: amazon-ec2 amazon-web-services saml shibboleth
如果我对您的理解正确,您尝试做的是使用联合身份来授予用户 temporary security credentials 执行 AWS api 调用。您希望您的用户向您自己的身份提供商(在本例中为 Shibboleth)进行身份验证,并根据该身份验证授予对 AWS 服务的访问权限。
AWS sample code 就是一个很好的例子,可以用作框架。
简而言之:
您需要用户连接到的代理,并传递他们的身份验证凭据。然后,您将通过向 Shibboleth、AD、LDAP 或其他方式进行身份验证来验证它们。
您需要一个Token Vending Machine,然后您的代理将调用它以使用 GetFederationTokenRequest 获取有效的 AWS 密钥。
然后,您的客户将使用提供给它的令牌进行 AWS api 调用。
联合身份的概念包括STS, SP, and IdP 等术语,如果您正在寻找更多研究该主题的起点。
【讨论】: