使用 GSuite/Google Workspace 作为 IdP 和 AWS SSO 时,为什么会收到 Invalid MFA 错误

【问题标题】:Why do I get an Invalid MFA error when using GSuite/Google Workspace as an IdP with AWS SSO使用 GSuite/Google Workspace 作为 IdP 和 AWS SSO 时,为什么会收到 Invalid MFA 错误
【发布时间】:2021-03-01 21:14:44
【问题描述】:

我已按照this blog post 中的说明将 GSuite 配置为我们的 AWS SSO 服务的身份提供商。当我访问我的 SSO 用户门户 URL(即https://d-1234567890.awsapps.com/start)时,我被正确地重定向到 accounts.google.com,在那里我进行身份验证并被重定向回 AWS SSO。此时我收到来自 aws (url https://us-west-2.signin.aws.amazon.com/platform/saml/acs/SOME-UUID) 的错误。

错误是:

Invalid MFA credentials
Your MFA credentials were incorrect. Please check your device and try again.

据我所知,您无法在 AWS SSO 中使用外部身份提供商配置 MFA。

FWIW,我已经测试了使用 AWS SSO 作为身份提供商设置 AWS SSO 并设置 MFA 并且它有效。

【问题讨论】:

    标签: amazon-web-services google-workspace aws-sso


    【解决方案1】:

    我已成功将 AWS SSO 与 GSuite 集成。我遇到了与您相同的错误,但通过在 AWS 中禁用自动配置来修复它。这是因为 Google 目前不支持自定义 SAML 应用程序的 SCIM,这是一种耻辱。相反,我手动创建了与 GSuite 用户的电子邮件地址匹配的用户帐户。

    【讨论】:

      【解决方案2】:

      此错误仅在 usernameprimary email address 不匹配时出现。您在 AWS SSO 和 Gsuite 中的用户详细信息必须相同并设置为用户名。

      为了说明,假设您的gsuite_email: XYZ@gsuite_domain.com,其中XYZ 是用户名。

      当您在 AWS SSO 中创建新用户时,您必须输入与 Gsuite 相同的用户名和主电子邮件。

      1. 用户名:XYZ@gsuite_domain.com
      2. 主要邮箱:XYZ@gsuite_domain.com

      注意:您必须输入用户详细信息并使用用户的主电子邮件地址 (username@gsuite_domain.com) 作为用户名。另外,如果您已经在 AWS SSO 中存在用户,则无法修改用户名,唯一的选择是删除该用户并重新创建。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2020-09-24
        • 2015-05-24
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2016-03-28
        • 2019-08-20
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode