Назад | Перейти на главную страницу

Настройте AWS SSO с Auth0 в качестве IDP

Я пытаюсь настроить «AWS SSO» для работы с Auth0 в качестве внешнего поставщика удостоверений. Я сделал это до такой степени, что я получаю логин auth0 как успешный, но AWS выдает мне ошибку.

ошибка, которую я получаю после входа в систему через auth0:

Шаги, которые я сделал

Перейдите к приложению Auth0> Дополнение> URL-адрес обратного вызова приложения веб-приложения SAML2: {{AWS SSO ACS URL}} Настройки

{
    "audience": "{{ AWS SSO Sign-in URL}}",
    "destination": "{{ AWS SSO issuer URL}}",
    "mappings": {
        "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
    },
    "signResponse": false,
    "createUpnClaim": false,
    "passthroughClaimsWithNoMapping": false,
    "mapUnknownClaimsAsIs": false,
    "mapIdentities": true,
    "nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
    "nameIdentifierProbes": [
        "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    ]
}

Ответ Saml: https://gist.github.com/Rohithzr/9bf1bc854e8a3ad79e68e1d41fbc7154 Может ли кто-нибудь помочь мне, поскольку я действительно не получаю журналы для отладки из AWS

Хорошие новости, думаю, я только что понял это!

Я следил за другое руководство по настройке Okta с AWS SSO а затем сравнил некоторые различия между этим и Руководство Auth0. Я внес три изменения и получил работу с Auth0 + AWS SSO.

{
  "audience": "{{AWS SSO issuer URL}}",
  "destination": "{{AWS SSO ACS URL}}",
  "mappings": {
    "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
    "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  },
  "createUpnClaim": true,
  "passthroughClaimsWithNoMapping": false,
  "mapUnknownClaimsAsIs": false,
  "mapIdentities": false,
  "nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
  "nameIdentifierProbes": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ]
}

Три ключевых изменения:

  1. то зрительская аудитория должен быть URL-адресом поставщика AWS SSO, а не URL-адресом для входа.
  2. то место назначения должен быть URL-адресом AWS SSO ACS, а не URL-адресом эмитента.
  3. то nameIdentifierFormat должно быть urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (это то же самое значение, что и у вас ... Я вызываю его только потому, что Руководство Auth0 AWS SSO говорит urn:oasis:names:tc:SAML:2.0:nameid-format:persistent, который, похоже, не работает; обмен на случай, если другие прочитают этот пост).