AWS Получить краткосрочный временный токен от SSO AD Connector

У меня есть предварительный AD, связанный с AWS SSO с помощью AD Connector. Пользователи AD включили MFA в AWS SSO.

От приложения требуется получение краткосрочного токена с использованием идентификатора пользователя. Пример идентификатора пользователя Active Directory "A" имеет доступ для завершения работы экземпляра EC2. Пользователь с идентификатором "A" входит в пользовательское приложение, пользовательское приложение извлекает краткосрочный токен и использует этот токен для завершения работы экземпляра EC2.

Это приложение создано специально для бизнес-пользователей, которым неудобно пользоваться Консолью AWS, поэтому он имеет очень простой минимально простой в использовании пользовательский интерфейс.

Я прочитал много документации AWS, и все реализации, которые я проверил в Интернете, предназначены для единого входа AWS с SAML Federated с Azure AD и т. Д., Но не с предварительным AD.

Как можно использовать STS с реализацией SSO на предварительном этапе AD?