【发布时间】:2019-11-20 23:38:09
【问题描述】:
到目前为止我做了什么?
我已通过添加信任关系和设置 Cognito 身份提供商将 Microsoft AD 与 AWS Cognito 集成。在此,我在 Cognito 设置期间设置了应用程序域前缀。通过使用以下 URL,我可以通过登录 AD 登录页面来接收令牌。所以当我解码这个令牌时,我得到了所需的属性和其他信息。
我真正想要什么?
所以我不希望我的用户被重定向到 AD 登录页面,然后再重定向到应用程序。我只需要一个 REST API,我可以在其中提供 AD 用户凭据,并且此 API 将返回包含所有信息的上述 JWT 令牌。 所以简而言之,我想通过使用 AD 用户凭据来获取 Cognito JWT 令牌。这些用户是 AD 组的一部分,它们通过使用 ADFS 添加信任关系链接到 AWS IAM。那么有没有一种方法可以让我不需要使用 Cognito 托管的 UI。相反,我的用户将使用一个 API 并获取凭据。我不知道这个 API 是什么。
任何帮助将不胜感激。
【问题讨论】:
-
我不相信 AWS 根据 AWS 文档有密码/用户名流程。但是您可以做的是根据博客在两者之间设置 SAML 身份验证:aws.amazon.com/blogs/security/… 并且您可以使用 WCF 和 WS Trust leastprivilege.com/2012/11/16/… 获取带有用户名/密码的 SAML 令牌,尽管这实际上需要大量工作在你的环境中从头开始做它需要做的事情。
-
我正在构建类似的东西,但找不到实现这一目标的方法。你最终把它整理好了吗?
-
我发现 keycloak 是这个流程的更好选择。 keycloak.org
标签: amazon-web-services authentication amazon-cognito saml adfs