AWS ParallelCluster與身分識別中心的 UI 整合

本教學課程的目標是示範如何將 AWS ParallelCluster UI 與 IAM 身分中心整合，以提供單一登入解決方案，以統一 Active Directory 中可與AWS ParallelCluster叢集共用的使用者。

使用時AWS ParallelCluster，您只需為建立或更新AWS ParallelCluster映像和叢集時所建立的AWS資源付費。如需詳細資訊，請參閱AWS使用的服務 AWS ParallelCluster。

事前準備：

• 可以按照此處的說明安裝現有的 AWS ParallelCluster UI。

• 現有的受管理的活動目錄，最好是您也將用於整合的目錄AWS ParallelCluster。

啟用 IAM Identity Center

如果您已經將身分中心連接到您的AWS Managed Microsoft AD（Active Directory），則可以使用該身份中心，您可以跳到將應用程序添加到 IAM 身份中心部分。

如果您尚未將身分識別中心連線到AWS Managed Microsoft AD，請按照以下步驟進行設定。

啟用識別中心

1. 在主控台中，導覽至 IAM 身分中心。（請確保您在您擁有的地區AWS Managed Microsoft AD。）

2. 按一下「啟用」按鈕，這可能會詢問您是否要啟用組織，這是必要條件，因此您可以選擇啟用它。注意：這將通過電子郵件向您的帳戶管理員發送一封確認電子郵件，您應該按照鏈接進行確認。

將身分識別中心連線至受管理

1. 在啟用身分識別中心後的下一頁上，您應該會看到建議的設定步驟，在步驟 1 下，選取 [選擇您的身分識別來源]。

2. 在 [身分識別來源] 區段中，按一下 [動作] 下拉式功能表 (位於右上角)，然後選取 [變更身分識別來源]。

3. 選取作用中目錄。

4. 在「現有目錄」下，選擇您的目錄。

5. 按一下 Next (下一步)。

6. 檢閱您的變更，捲動至底部，在文字方塊中輸入 ACCEPT 以確認，然後按一下「變更身分識別來源」。

7. 等待更改完成，然後您應該在頂部看到一個綠色橫幅。

同步使用者和群組至身分識別中心

1. 在綠色橫幅中，按一下 [開始引導式設定] (右上角的按鈕)

   

2. 在 [設定屬性對應] 中，按 [下一步]

3. 在 [設定同步範圍] 區段中，輸入要同步至身分識別中心的使用者名稱，然後按一下 [新增]

4. 新增使用者和群組後，按一下 [下一步]

   

5. 檢閱您的變更，然後按一下儲存設定

6. 如果您在下一個畫面中看到有關使用者未同步的警告，請選取右上角的 [繼續同步] 按鈕。

7. 接下來，若要啟用使用者，請在左側的 [使用者] 索引標籤中選取使用者，然後按一下 [啟用使用者存取權] > [啟用使用者

   注意：如果頂端有警告橫幅，您可能需要選取 [繼續同步]，然後等待使用者進行同步處理 (請嘗試重新整理按鈕，查看他們是否已同步處理)。

   

將您的應用程式新增至 IAM 身分中心

將使用者與 IAM 身分中心同步後，您將需要新增應用程式。這樣可以從 IAM 身分中心入口網站設定哪些啟用 SSO 的應用程式。在這種情況下，我們將添加 AWS ParallelCluster UI 作為應用程序，而 IAM 身份中心將成為身份提供者。

下一步會將 AWS ParallelCluster UI 新增為 IAM 身分中心中的應用程式。 AWS ParallelClusterUI 是一個 Web 門戶，可幫助用戶管理其集群。如需詳細資訊，請參閱 AWS ParallelClusterUI。

在身分識別中心中設定應用程式

1. 在 IAM 身分中心 > 應用程式下 (位於左側功能表列中，按一下 [應用程式])

2. 按一下新增應用

3. 選擇添加自定義 SAML 2.0 應用程序

4. 點擊下一步

5. 選取您要使用的顯示名稱和說明 (例如 PCUI 和 AWS ParallelCluster UI)

6. 在 IAM 身分中心中繼資料下，複製 IAM 身分中心 SAML 中繼資料檔案的連結，然後儲存以供稍後使用，這將在 Web 應用程式上設定 SSO 時使用

7. 在「應用程式內容」下的「應用程式啟動 URL」中，輸入您的 PCUI 位址。這可以通過轉到 CloudFormation 控制台，選擇與 PCUI 對應的堆棧（例如，並行 lcluster-ui），然後轉到「輸出」選項卡以查找 UIURL ParallelCluster

   例如：https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

8. 在 [應用程式中繼資料] 下方，選擇 [手動輸入您的 然後提供下列值。

   1. 重要事項：請務必將網域前置詞、區域和使用者集區識別碼值取代為您環境的特定資訊。

   2. 透過開啟 Amazon Cognito > 使用者集區主控台，即可取得網域前置詞、區域和使用者集區識別碼

      

   3. 選取對應至 PCUI 的使用者集區 (其中會有一個使用者集區名稱，如 PCUI CD8A2-認知系統 -153EK3TO45S98-使用者集區)

   4. 導覽至應用程式整合

      

9. <domain-prefix>應用程式宣告取用者服務 (ACS) 網址： <region>. 亞馬遜認識.com /三個/識別

   應用 SAML 受眾:甕:亞馬遜:齒:SP: <userpool-id>

10. 選擇提交。然後，前往您新增之應用程式的「詳細資料」頁面。

11. 選取動作下拉式清單，然後選擇編輯屬性對應。然後，提供下列屬性。

    1. 應用程序中的用戶屬性：主題（注意：主題已預填充。） → 映射到此字符串值或 IAM 身份中心的用戶屬性：$ {用戶：電子郵件}，格式：電子郵件地址

    2. 應用程序中的用戶屬性：電子郵件 → 映射到此字符串值或 IAM 身份中心的用戶屬性：$ {用戶：電子郵件}，格式：未指定

       

12. 儲存您的變更。

13. 選擇「指派使用者」按鈕，然後將您的使用者指派給應用程式。這些是作用中目錄中將有權存取 PCUI 介面的使用者。

    

在您的使用者集區中將 IAM 身分中心設定為 SAML IdP

1. 在使用者集區設定中，選取 [登入體驗] > [新增身分提供者

   

2. 選擇一個 SAML IdP

3. 對於提供者名稱提供 IdentityCenter

4. 在「中繼資料文件來源」下選擇「輸入中繼資料文件端點 URL」，並提供 Identity Center 應用程式設定期間複製

5. 在屬性下，對於電子郵件選擇電子郵件

   

6. 選取 新增身分供應商。

將 IdP 與使用者集區應用程式用戶端整合

1. 接下來，在用戶池的「應用程序集成」部分下，選擇「應用程序客戶端列表」下列出的客戶端

   

2. 在託管 UI 下，選擇編輯

3. 在「身份提供者」下也IdentityCenter可以選擇。

4. 選擇 Save changes (儲存變更)

驗證您的設定

1. 接下來，我們將透過登入 PCUI 來驗證剛剛建立的設定。登入您的 PCUI 入口網站，您現在應該會看到使用您的公司 ID 登入的選項：

   

2. 按一下IdentityCenter按鈕應會將您導向 IAM 身分中心 IdP 登入，然後接著一個包含您應用程式 (包括 PCUI) 的頁面，開啟該應用程式。

3. 進入下列畫面後，您的使用者就會新增至 Cognito 使用者集區。

   

讓您的使用者成為管理員

1. 現在導航到 Amazon Cognito > 用戶池控制台，然後選擇新創建的用戶，該用戶應該具有前綴身份中心

   

2. 在 [群組成員資格] 下方，選取 [新增使用者至群組]，選擇 [管理員]，

3. 現在，當您單擊繼續時， IdentityCenter您將被導航到 AWS ParallelCluster UI 頁面。