1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 我已通过以下方法解决了这个问题:
如果您允许Azure AD的访客用户,并希望使用这些用户来进行AWS身份验证:
这将导致从AD收到的SAML响应中的用户名与AWS IAM Identity Center中的实际用户名不匹配。
解决方法
要解决此问题,您可以考虑修改从Azure发送到AWS SSO的SAML响应的用户声明,以便您可以为访客AD用户发送正确的属性[1][2]。请按照以下步骤操作:
1. 登录到您的Azure门户并导航至Azure AD Directory
2. 从左侧窗格中选择企业应用程序并选择所需的AWS应用程序
3. 从左侧窗格中导航到“单一登录”选项卡
4. 单击“用户属性和声明”旁边的“编辑”按钮
5. 在必需的声明下选择“唯一用户标识符(名称ID)”。
6. 现在我们需要创建两个声明条件(位于屏幕底部),一个用于您的AD用户,另一个用于您的访客用户,如下所示。
成员 - 属性 - 用户.userprincipalname
访客 - 属性 - 用户邮件
7. 保存编辑并再次尝试登录过程,您应该能够登录。您可能需要完全清除浏览器缓存。
相关内容
- AWS 官方已更新 9 个月前