So konfigurieren Sie einen SAML-Identitätsanbieter, um SSO in AWS CloudFormation zu aktivieren

Wenn Sie einen SAML-Identitätsanbieter konfigurieren möchten, um SSO für AWS zu ermöglichen, werden Sie feststellen, dass CloudFormation dafür keine Unterstützung bietet. In diesem Blog stellen wir Ihnen einen benutzerdefinierten Anbieter vor, mit dem Sie den SAML-Identitätsanbieter in nur wenigen Zeilen konfigurieren können!

Wie Sie es verwenden

Um einen SAML-Identitätsanbieter über Ihre AWS CloudFormation-Vorlage hinzuzufügen, verwenden Sie eine <Custom::SAMLProvider Ressource mit dem Verweis auf die Metadaten-URL:

  SAMLProvider:
    Type: Custom::SAMLProvider
    Properties:
      Name: auth0
      URL: https://auth0.com/mytenant/providerurl
      ServiceToken: !Sub 'arn:${AWS::Partition}:lambda:${AWS::Region}:${AWS::AccountId}:function:cfn-saml-provider'

Wenn der Anbieter erstellt wird, lädt er die Metadaten des Identitätsanbieters von der angegebenen URL. Wenn Sie einen statischen Ansatz wünschen, können Sie auch die Metadaten selbst angeben:

  SAMLProvider:
    Type: Custom::SAMLProvider
    Properties:
      Name: auth0
      Metadata: |
        <EntityDescriptor entityID="urn:binxio.auth0.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
                ....
        </EntityDescriptor>
      ServiceToken: !Sub 'arn:${AWS::Partition}:lambda:${AWS::Region}:${AWS::AccountId}:function:cfn-saml-provider'

Nach Beendigung gibt es die ARN des SAML-Providers zurück. Das ist alles, was Sie wissen müssen. Von dort aus können Sie IAM-Rollen auf der Grundlage der eingerichteten Identitäten in diesem Konto konfigurieren.

Setzen Sie den benutzerdefinierten Anbieter ein

Um den Provider einzusetzen, geben Sie ein:

aws cloudformation deploy  
        --capabilities CAPABILITY_IAM 
        --stack-name cfn-saml-provider 
        --template-file ./cloudformation/cfn-saml-provider.json

Diese CloudFormation-Vorlage verwendet unseren vorgefertigten Provider von s3://binxio-public-${AWS_REGION}/lambdas/cfn-saml-provider-latest.zip.

Demo

Um das einfache Beispiel für den SAML-Anbieter zu installieren, geben Sie ein:

aws cloudformation deploy --stack-name cfn-saml-provider-demo 
        --template-file ./cloudformation/demo-stack.json

um das Ergebnis zu validieren, geben Sie ein:

aws iam list-saml-providers

Fazit

Mit nur wenigen Zeilen Code können Sie den SAML-Provider konfigurieren, der für die Implementierung von SSO für Ihre AWS-Konten erforderlich ist, im Stil von Infrastructure as Code. Und das ist die einzige Art, wie Sie es wollen, nicht wahr?

Vielleicht gefällt Ihnen auch, wie Sie mit dem SAML-Identitätsanbieter Auth0 AWS-Zugangsdaten und -Schlüssel erhalten und wie Sie mit CloudFormation den Zugriff auf AWS-Ressourcen anhand von SAML-Attributen einschränken.

Bild von jacqueline macou aus Pixabay