Почему я получаю ошибку Invalid MFA при использовании GSuite/Google Workspace в качестве IdP с AWS SSO

Question

Почему я получаю ошибку Invalid MFA при использовании GSuite/Google Workspace в качестве IdP с AWS SSO

Я настроил GSuite в качестве поставщика удостоверений для нашей службы единого входа AWS, следуя указаниям в этом сообщении в блоге. Когда я посещаю свой URL-адрес пользовательского портала системы единого входа (т. https://d-1234567890.awsapps.com/start), я правильно перенаправляюсь на accounts.google.com, где я проверяю подлинность и перенаправляюсь обратно в систему единого входа AWS. На этом этапе я получаю сообщение об ошибке от aws (url https://us-west-2.signin.aws.amazon.com/platform/saml/acs/SOME-UUID).

Ошибка:

       Invalid MFA credentials
Your MFA credentials were incorrect. Please check your device and try again.

Насколько мне известно, вы не можете настроить MFA с внешними поставщиками удостоверений в AWS SSO.

FWIW, я протестировал настройку AWS SSO с AWS SSO в качестве поставщика удостоверений и настройку MFA, и это сработало.

2

amazon-web-services aws-sso

Источник

user2218 18 ноя '20 в 18:12

2 ответа

Другие вопросы по тегам amazon-web-services aws-sso

user14701838 24 ноя '20 в 23:50 2020-11-24 23:50 · Answer 1 · 2020-11-24 23:50

Я успешно интегрировал AWS SSO с GSuite. Я обнаружил ту же ошибку, что и вы, но исправил ее, отключив автоматическую подготовку в AWS. Это связано с тем, что Google не поддерживает SCIM для пользовательских приложений SAML на данный момент, что очень досадно. Вместо этого я вручную создал учетные записи пользователей, соответствующие адресу электронной почты пользователя GSuite.

24 июл '21 в 09:43 2021-07-24 09:43 · Answer 2 · 2021-07-24 09:43

Эта ошибка возникает только тогда, когда username и primary email addressне совпадает. Ваши данные пользователя в AWS SSO и Gsuite должны совпадать и указываться в качестве имени пользователя.

Для иллюстрации предположим, что ваш gsuite_email: XYZ@gsuite_domain.com, куда XYZ это имя пользователя.

При создании нового пользователя в AWS SSO необходимо указать то же имя пользователя и основной адрес электронной почты, что и в Gsuite.

Имя пользователя:
Основной адрес электронной почты: XYZ@gsuite_domain.com

Примечание. Вы должны указать данные пользователя и использовать его основной адрес электронной почты ( username@gsuite_domain.com) в качестве имени пользователя. Кроме того, если у вас уже есть пользователи внутри AWS SSO, вы не можете изменить имя пользователя, единственный вариант - удалить пользователя и создать его снова.