1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 jsonc@ 和 posquit0@ 在这里都是正确的。
- jsonc@ 说你的值没有填充的原因是正确的,因为你将它们作为“用户”的属性传递。如果您希望看到它们反映在 AWS SSO 中,请改用以下内容:
- ${path:name.familyName} 作为您用户的名字。
- ${path:enterprise.division}为用户所属部门名称。
- posquit0@ 也是正确的。如果您不关心看到反映在 AWS SSO 中的字段和值,但想在断言中传递它们并在 IAM 策略中将它们用于 ABAC,则只需删除 AWS SSO ABAC 中的所有属性配置(保持启用状态)并构建您的策略以期望您传递的属性和值。 AWS STS 将在它们在 SAML 响应中传递时获取它们,并且它们将用于任何适用/强制的 IAM 策略。
无论哪个最适合您,但我认为如果您要努力传递属性和值,您会希望看到它们反映在 AWS SSO 中。这也意味着您可以查看 AWS SSO ABAC 中配置的内容以及每个用户拥有的值,而不必简单地记住您从 Okta 传递过来的内容。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前