Chcemy umożliwić naszym użytkownikom pobranie zestawu tymczasowych poświadczeń CLI dla danej roli AWS, logując się do OneLogin za pomocą hasła i MFA. Mamy działające rozwiązanie, ale wymaga ono pełnego uwierzytelnienia się w OneLogin (w tym MFA) co 60 minut po wygaśnięciu tymczasowych poświadczeń AWS. Myślę, że to nie będzie latać - nasi użytkownicy są przyzwyczajeni do stałych poświadczeń API związanych z prawdziwym użytkownikiem IAM.Poświadczenia API AWS z OneLogin SAML i MFA
Idealnym rozwiązaniem jest umożliwienie użytkownikom uwierzytelniania raz dziennie, bezpieczne przechowywanie w pamięci wynikowej asercji SAML i używanie tego do przezroczystego odświeżania poświadczeń interfejsu API AWS w razie potrzeby. Myślę o czymś takim, jak aws-keychain, który używałby lokalnego magazynu referencji OS do zapamiętania asercji SAML i monitował użytkownika tylko o wejście, gdy ich sesja OneLogin przekroczyła limit czasu.
To prawie działa tak jak jest. Połów jest taki, że asercja SAML zwrócona przez punkty końcowe OneLogin saml_assertion
i verify_factor
ustala trzyminutowy termin na polach Subject
i Conditions
.
Czy istnieje sposób na robienie tego, co chcemy, czy też staramy się ominąć podstawową zasadę SAML?
udało Ci Posortuj to? –
@PavelNikolov Nie, nie mamy. Podejście, które opisałem powyżej, jest prawdopodobnie błędne; chcielibyśmy, aby walidacja MFA była powiązana z ustanawianiem sesji użytkownika, a nie z wydawaniem asercji SAML. Następnie, dopóki moja sesja użytkownika jest ważna, mogę automatycznie wygenerować zgodną asercję SAML i przetłumaczyć ją na token sesji w AWS. Nie sądzę, abyśmy mogli to osiągnąć dzięki obecnemu projektowi interfejsu API OneLogin. –
Nie wiem, czy to pomaga w przypadku użycia, ale sesje STS mogą teraz być ważne przez maksymalnie 36 godzin. – Evan