AWS ParallelClusterUI-Integration mit Identity Center - AWS ParallelCluster
IAM Identity Center aktivieren Ihre Anwendung zum IAM Identity Center hinzufügen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS ParallelClusterUI-Integration mit Identity Center

Das Ziel dieses Tutorials besteht darin, zu demonstrieren, wie die AWS ParallelCluster Benutzeroberfläche in IAM Identity Center integriert werden kann, um eine Single-Sign-On-Lösung zu schaffen, die Benutzer in Active Directory vereint und mit Clustern gemeinsam genutzt werden kann. AWS ParallelCluster

Bei der Nutzung AWS ParallelCluster zahlen Sie nur für die AWS Ressourcen, die bei der Erstellung oder Aktualisierung von AWS ParallelCluster Images und Clustern entstehen. Weitere Informationen finden Sie unter AWS Dienste verwendet von AWS ParallelCluster.

Voraussetzungen:

  • Eine vorhandene AWS ParallelCluster Benutzeroberfläche, die gemäß den Anweisungen hier installiert werden kann.

  • Ein vorhandenes verwaltetes Active Directory, vorzugsweise eines, das Sie auch für die Integration verwenden werdenAWS ParallelCluster.

IAM Identity Center aktivieren

Wenn Sie bereits über ein Identity Center verfügen, das mit Ihrem AWS Managed Microsoft AD (Active Directory) verbunden ist, können Sie dieses verwenden und mit dem Abschnitt Hinzufügen Ihrer Anwendung zu IAM Identity Center fortfahren.

Wenn Sie noch kein Identity Center mit einem verbunden habenAWS Managed Microsoft AD, gehen Sie wie folgt vor, um es einzurichten.

Identity Center aktivieren

  1. Navigieren Sie in der Konsole zu IAM Identity Center. (Stellen Sie sicher, dass Sie sich in der Region befinden, in der Sie Ihre habenAWS Managed Microsoft AD.)

  2. Klicken Sie auf die Schaltfläche Aktivieren. Möglicherweise werden Sie gefragt, ob Sie Organisationen aktivieren möchten. Dies ist eine Voraussetzung, damit Sie sie aktivieren können. Hinweis: Dadurch erhalten Sie eine E-Mail an den Administrator Ihres Kontos mit einer Bestätigungs-E-Mail. Folgen Sie zur Bestätigung dem Link.

Identity Center mit Managed AD verbinden

  1. Auf der nächsten Seite sollten Sie nach der Aktivierung von Identity Center die empfohlenen Einrichtungsschritte sehen. Wählen Sie unter Schritt 1 die Option Wählen Sie Ihre Identitätsquelle aus.

  2. Klicken Sie im Abschnitt Identitätsquelle auf das Dropdownmenü Aktionen (oben rechts) und wählen Sie dann Identitätsquelle ändern aus.

  3. Wählen Sie Active Directory aus.

  4. Wählen Sie unter Existierende Verzeichnisse Ihr Verzeichnis aus.

  5. Klicken Sie auf Weiter.

  6. Überprüfen Sie Ihre Änderungen, scrollen Sie nach unten, geben Sie zur Bestätigung ACCEPT in das Textfeld ein und klicken Sie dann auf Identitätsquelle ändern.

  7. Warte, bis die Änderungen abgeschlossen sind. Dann solltest du oben ein grünes Banner sehen.

Synchronisieren von Benutzern und Gruppen mit Identity Center

  1. Klicken Sie im grünen Banner auf Geführte Installation starten (Schaltfläche oben rechts)

    Screenshot, der die Schaltfläche „Geführte Installation starten“ hervorhebt.

  2. Klicken Sie unter Attributzuordnungen konfigurieren auf Weiter

  3. Geben Sie im Abschnitt Synchronisierungsbereich konfigurieren den Namen der Benutzer ein, die mit Identity Center synchronisiert werden sollen, und klicken Sie dann auf Hinzufügen

  4. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, klicken Sie auf Weiter

    Screenshot, in dem die Schaltfläche Weiter hervorgehoben wird.

  5. Überprüfen Sie Ihre Änderungen und klicken Sie dann auf Konfiguration speichern

  6. Wenn auf dem nächsten Bildschirm eine Warnung angezeigt wird, dass Benutzer nicht synchronisiert werden, wählen Sie oben rechts die Schaltfläche Synchronisierung fortsetzen aus.

  7. Um Benutzer zu aktivieren, wählen Sie als Nächstes auf der linken Seite auf der Registerkarte Benutzer einen Benutzer aus und klicken Sie dann auf Benutzerzugriff aktivieren > Benutzerzugriff aktivieren

    Hinweis: Möglicherweise müssen Sie Synchronisierung fortsetzen auswählen, wenn oben ein Warnbanner angezeigt wird, und dann warten, bis die Benutzer synchronisiert sind (versuchen Sie mit der Schaltfläche „Aktualisieren“, ob sie bereits synchronisiert sind).

    Screenshot, der den Tab „Benutzer“ hervorhebt.

Ihre Anwendung zum IAM Identity Center hinzufügen

Sobald Sie Ihre Benutzer mit IAM Identity Center synchronisiert haben, müssen Sie eine neue Anwendung hinzufügen. Dadurch wird konfiguriert, welche SSO-fähigen Anwendungen in Ihrem IAM Identity Center-Portal verfügbar sein werden. In diesem Fall fügen wir AWS ParallelCluster UI als Anwendung hinzu, während IAM Identity Center der Identitätsanbieter ist.

Im nächsten Schritt wird die AWS ParallelCluster Benutzeroberfläche als Anwendung in IAM Identity Center hinzugefügt. AWS ParallelCluster UI ist ein Webportal, das dem Benutzer hilft, seine Cluster zu verwalten. Weitere Informationen finden Sie unter AWS ParallelClusterUI.

Einrichtung der Anwendung in Identity Center

  1. Unter IAM Identity Center > Anwendungen (klicken Sie in der linken Menüleiste auf Anwendungen)

  2. Klicken Sie auf Anwendung hinzufügen

  3. Wählen Sie Benutzerdefinierte SAML 2.0-Anwendung hinzufügen

  4. Klicken Sie auf Weiter

  5. Wählen Sie den Anzeigenamen und die Beschreibung aus, die Sie verwenden möchten (z. B. PCUI und AWS ParallelCluster UI)

  6. Kopieren Sie unter IAM Identity Center-Metadaten den Link für die IAM Identity Center SAML-Metadatendatei und speichern Sie ihn für später. Diese wird bei der Konfiguration von SSO in der Web-App verwendet

  7. Geben Sie unter Anwendungseigenschaften in der Start-URL der Anwendung Ihre PCUI-Adresse ein. Diese finden Sie, indem Sie zur CloudFormation Konsole gehen, den Stack auswählen, der der PCUI entspricht (z. B. parallelcluster-ui), und auf der Registerkarte Outputs nach uiUrl suchen ParallelCluster

    z. B. https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

  8. Wählen Sie unter Anwendungsmetadaten die Option Manuelles Eingeben Ihrer Metadatenwerte aus. Geben Sie dann die folgenden Werte ein.

    1. Wichtig: Achten Sie darauf, die Werte für das Domänenpräfix, die Region und die Benutzerpool-ID durch Informationen zu ersetzen, die für Ihre Umgebung spezifisch sind.

    2. Das Domain-Präfix, die Region und die Benutzerpool-ID erhalten Sie, indem Sie die Konsole Amazon Cognito > Benutzerpools öffnen.

      Screenshot, in dem der Name des Benutzerpools unter Cognieto-Benutzerpools hervorgehoben wird

    3. Wählen Sie den Benutzerpool aus, der PCUI entspricht (der einen Benutzerpoolnamen wie PCUI-CD8A2-Cognito-153EK3TO45S98-UserPool haben wird)

    4. Navigieren Sie zu App Integration

      Screenshot, der die Cogneto-Domain auf der Registerkarte App-Integration hervorhebt

  9. <domain-prefix>URL des Application Assertion Consumer Service (ACS): https://.auth. <region>.amazoncognito.com/saml2/idpresponse

    SAML-Anwendungszielgruppe: urn:amazon:cognito:sp: <userpool-id>

  10. Wählen Sie Absenden aus. Rufen Sie dann die Detailseite für die Anwendung auf, die Sie hinzugefügt haben.

  11. Wählen Sie die Dropdownliste Aktionen aus und wählen Sie Attributzuordnungen bearbeiten aus. Geben Sie dann die folgenden Attribute an.

    1. Benutzerattribut in der Anwendung: Betreff (Hinweis: Betreff ist vorausgefüllt.) → Ordnet diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center zu: $ {user:email}, Format: emailAddress

    2. Benutzerattribut in der Anwendung: E-Mail → Ordnet diesem Zeichenfolgenwert oder Benutzerattribut in IAM Identity Center zu: $ {user:email}, Format: nicht spezifiziert

      Screenshot, der den Abschnitt „Attributzuordnungen für PCUI“ hervorhebt

  12. Speichern Sie Ihre Änderungen.

  13. Wählen Sie die Schaltfläche „Benutzer zuweisen“ und weisen Sie dann Ihren Benutzer der Anwendung zu. Dies sind die Benutzer in Ihrem Active Directory, die Zugriff auf die PCUI-Schnittstelle haben werden.

    Screenshot, in dem Benutzer für die Anwendung zuweisen hervorgehoben werden.

Konfigurieren Sie IAM Identity Center als SAML-IdP in Ihrem Benutzerpool

  1. Wählen Sie in Ihren Benutzerpool-Einstellungen die Option Anmeldeerfahrung > Identitätsanbieter hinzufügen aus

    Screenshot, in dem der Tab „Anmeldeerfahrung“ hervorgehoben wird

  2. Wählen Sie einen SAML-IdP

  3. Geben Sie als Anbieternamen an IdentityCenter

  4. Wählen Sie unter Metadaten-Dokumentquelle die Option URL für den Endpunkt des Metadatendokuments eingeben aus und geben Sie die URL ein, die Sie bei der Einrichtung der Anwendung von Identity Center kopiert haben

  5. Wählen Sie unter „Attribute“ für E-Mail die Option E-Mail

    Screenshot, in dem der Tab „Anmeldeerfahrung“ hervorgehoben wird

  6. Wählen Sie Identitätsanbieter hinzufügen aus.

Integrieren Sie den IdP in den Benutzerpool-App-Client

  1. Wählen Sie als Nächstes im Bereich App-Integration Ihres Benutzerpools den Client aus, der unter App-Client-Liste aufgeführt ist

    Screenshot, in dem der Tab „Anmeldeerfahrung“ hervorgehoben wird

  2. Wählen Sie unter Gehostete Benutzeroberfläche die Option Bearbeiten

  3. Wählen Sie unter Identitätsanbieter IdentityCenterebenfalls aus.

  4. Wählen Sie Save Changes (Änderungen speichern)

Bestätigen Sie Ihr Setup

  1. Als Nächstes validieren wir das Setup, das wir gerade erstellt haben, indem wir uns bei PCUI anmelden. Melden Sie sich bei Ihrem PCUI-Portal an und Sie sollten nun eine Option sehen, mit der Sie sich mit Ihrer Unternehmens-ID anmelden können:

    Screenshot, der die Registerkarte „Anmeldeerfahrung“ hervorhebt

  2. Wenn Sie auf die IdentityCenterSchaltfläche klicken, gelangen Sie zur IAM Identity Center IdP-Anmeldung, gefolgt von einer Seite mit Ihren Anwendungen, die PCUI enthält. Öffnen Sie diese Anwendung.

  3. Sobald Sie zum folgenden Bildschirm gelangen, wurde Ihr Benutzer dem Cognito-Benutzerpool hinzugefügt.

    Screenshot, in dem der Tab „Anmeldeerfahrung“ hervorgehoben wird

Machen Sie Ihren Benutzer zum Administrator

  1. Navigieren Sie nun zur Konsole Amazon Cognito > Benutzerpools und wählen Sie den neu erstellten Benutzer aus, der das Präfix identitycenter haben soll.

    Screenshot, in dem der Tab „Anmeldeerfahrung“ hervorgehoben wird

  2. Wählen Sie unter Gruppenmitgliedschaften die Option Benutzer zur Gruppe hinzufügen aus, wählen Sie Administrator aus und klicken Sie auf Hinzufügen.

  3. Wenn Sie nun auf Weiter mit klicken, werden IdentityCenter Sie zur AWS ParallelCluster UI-Seite weitergeleitet.