https://developers.onelogin.com/api-docs/1/saml-assertions/generate-saml-assertion
我正在生成SAML断言以与AWS assumerolewithSAML一起使用,以生成临时访问密钥并使其正常工作,但我更倾向于不必传递密码......
我理解传递密码是通过https并且相当安全,但是考虑让流程按计划执行此操作,以便需要AWS访问密钥的人可以运行脚本来刷新其密钥,因为AWS仅允许最多1临时凭证的小时生命周期。我不希望这个脚本知道/记住用户密码等。
不确定我们是否可以使用其他方法甚至是盐渍密码?还有其他安全的想法吗?
答案 0 :(得分:0)
暂时是用户名/密码,因为这个电话有效地让你冒充用户。
A)请向AWS投诉 - 我认为一小时的时间限制很低,他们允许SAML断言要求更长的其他类型的会话(只是没有访问密钥)。
B)考虑使用自己的(更长的)会话/令牌管理来构建Web服务。然后,您可以缓存并重新使用用户'用于生成新令牌的凭据