我们希望允许用户通过输入密码和多重身份验证来从OneLogin检索给定AWS角色的一组临时CLI凭据。我们有一个可行的解决方案,但它要求用户每60分钟完全重新验证OneLogin(包括MFA),因为AWS临时凭据会过期。我认为这不可行 - 我们的用户习惯于与真实IAM用户相关联的永久API凭据。
理想情况下,我们希望允许用户每天只需进行一次身份验证,安全地缓存生成的SAML断言,并使用该断言在需要更新AWS API凭证时自动刷新。我想到了类似于aws-keychain的东西,它将使用本地操作系统凭据存储库来记住SAML断言,并仅在用户的OneLogin会话超时时提示用户输入。
这几乎可以正常工作。问题在于OneLogin的
我们是否有办法实现我们想要的功能,还是我们正在绕过核心SAML原则?
理想情况下,我们希望允许用户每天只需进行一次身份验证,安全地缓存生成的SAML断言,并使用该断言在需要更新AWS API凭证时自动刷新。我想到了类似于aws-keychain的东西,它将使用本地操作系统凭据存储库来记住SAML断言,并仅在用户的OneLogin会话超时时提示用户输入。
这几乎可以正常工作。问题在于OneLogin的
saml_assertion和verify_factor端点返回的SAML断言在Subject和Conditions字段上设置了三分钟的截止期限。我们是否有办法实现我们想要的功能,还是我们正在绕过核心SAML原则?