当前位置：首页 > article >正文

使用开源 Authentik 实现 AWS 单点登录

article 2026/4/9 22:41:58

前言懒得自己编了, Gemini 这样介绍 Authentik:简单来说Authentik 是一款功能极其强大的开源身份验证与访问管理 (IAM) 解决方案。如果你觉得像 Okta 或 Auth0 这种商业服务太贵或者觉得像 Keycloak 这种传统方案配置起来太头疼那么 Authentik 就是一个非常现代且灵活的替代品。它主要用于为你的应用、服务器和网络服务提供统一的登录入口。官网: https://goauthentik.io/本文将基于开源版的 Authentik 使用 Docker 部署, 并完成和 AWS 控制台单点登录的配置. 下面正文开始.部署 Authentik参考官方 Docker Compose 部署文档在安装好 Docker 和 Docker-Compose 环境的 Ubuntu 系统中实现:# 创建存储 Authentik 数据的文件夹mkdirauthentikcdauthentik# 下载官方的 docker-compose 配置模板wgethttps://docs.goauthentik.io/compose.yml# 生成 PostgreSQL 数据库随机密码 (保存在 .evn 环境变量配置文件中)echoPG_PASS$(openssl rand-base6436|tr-d\n).envechoAUTHENTIK_SECRET_KEY$(openssl rand-base6460|tr-d\n).env# 启动dockercompose pulldockercompose up-d注: 国内需要给 Docker 附魔才能正常拉镜像, 参考配置 Docker 使用代理默认配置下, Authentik 监听端口为9000和9443, 启动后访问http://server_ip:9000等待系统加载完成:刷出来登陆界面就表明系统准备就绪了:初始化 Authentik系统就绪后, 首先访问地址http://server_ip:9000/if/flow/initial-setup/进入初始化配置界面:输入邮箱, 密码, 继续后来到用户视角的首页. 注意这里输入的邮箱和密码就是管理员账号.点击右上角的 Admin interface 进入后台管理界面:至此, Authentik 就准备就绪了, 下面开始配置 AWS 控制台单点登录的流程.AWS 信任关系配置这里使用 IAM SAML 方式进行配置, 参考文档 Integrate with Amazon Web Services (Classic IAM)Authentik 配置Property Mappings 配置解释一下为啥需要做这一步, 这是因为在传递身份信息时的 SAML 断言文档里面会有大量的属性, 我们需要通过这种方式明确让 Authentik 给 AWS 传递信息的时候将符合 AWS 格式要求的 SAML 属性给带进去.打开 Authentik 管理员界面, Customization Property Mappings Create选择 SAML Provider Property Mapping填入以下信息:Name:AWS Role Mapping(这个不要求, 也可以自己命名)SAML Attribute Name:https://aws.amazon.com/SAML/Attributes/Role(注意这个属性名称在中国区 AWS 也是这样写)Friendly Name: 留空Expression: 这个是 Python 代码, 对于固定的单个目标 AWS Role, 直接return符合要求格式的 ARN 就行. 由于目前还没有在 AWS IAM 中创建对应的 Role 和 SAML Provider, 所以这里就直接先按格式写好名字, 后面再创建. 下面例子中我规划的 Role 名称Authentik_Role, SAML Provider 名称Authentik_providerreturnarn:aws-cn:iam::123456789012:role/Authentik_Role,arn:aws-cn:iam::123456789012:saml-provider/Authentik_provider重复上面相同的操作, 再创建一个新的 Property mapping:Name:AWS Role Session Name(这个不要求, 也可以自己命名)SAML Attribute Name:https://aws.amazon.com/SAML/Attributes/RoleSessionName(注意这个属性名称在中国区 AWS 也是这样写)Friendly Name: 留空Expression: 这个很简单, 直接返回user.username就中returnuser.username至此, 我们就完成了两个 Property Mapping 的准备工作创建 Application Provider继续在 Authentik 管理界面打开 Applications Create with ProviderApplication Name 填入AWS, 下方会自动生成Slug, 继续Provider 选择SAML Provider继续注意下面配置 Provider 时, 中国区 AWS 用特定内容:Name: 用自动生成的就好Authorization flow:default-provider-authorization-implicit-consent (Authorize Application)Protocol settings:ACS URL:https://signin.amazonaws.cn/saml(注意中国区是 .cn)Issuer:authentikAdvanced protocol settings:Property mappings: 把上面创建好的两个映射都选中移到 Selected User Property MappingsService Provider Binding:Post(默认就是这个, 确认一下)下一步 Configure Policy/User/Group Bindings 不做设置, 继续下一步完成配置.下载 Metadata打开 Applications Providers AWS, 在 Related objects 下方下载 Metadata得到 XML 文件Provider for AWS_authentik_meta.xml后我们接下来就要到 AWS 控制台进行配置.AWS IAM 配置创建 Identity provider类型选择 SAML, 注意 Provider name 需要和前面我们准备 Property mapping 时在 Python 代码中返回的 ARN 中名称一致, 得叫Authentik_provider, 选择上一步下载的Provider for AWS_authentik_meta.xml作为 Metadata 文档上传.创建完成后打开详情, 确认 ARN 和前面 Python 代码中写的一致:创建 RoleTrusted entity type 选择 SAML 2.0 federation, 并选择上面创建好的Authentik_provider, 允许的操作选择Allow programmatic and Amazon Web Services Management Console access勾选要赋予的权限策略下一步, 需要注意这里 Role 的名称也需要和前面我们准备 Property mapping 时在 Python 代码中返回的 ARN 中名称一致, 得叫Authentik_Role, 完成创建.测试为了避免浏览器缓存影响测试, 新开一个浏览器隐私窗口, 访问 Authentik 首页, 可以看到 My applications 中出现了前面准备好的 AWS 应用:点击图标即可跳转至 AWS 控制台, 右上角确认当前使用的联合身份为 IAM RoleAuthentik_Role全文完.补充: 修改登陆后默认 Region默认配置完成后登陆的 AWS Console 是北京区, 如果需要设置为默认宁夏区, 需要修改 SAML Provider, 展开 Advanced protocol settings编辑 Default relay state 内容为宁夏区的 Console 首页 URLhttps://cn-northwest-1.console.amazonaws.cn/console/home?regioncn-northwest-1

使用开源 Authentik 实现 AWS 单点登录

相关文章：

使用开源 Authentik 实现 AWS 单点登录

袁永福电子病历，医疗信息化际

算法优化中的多线程数据一致性问题的技术9

BM25（Best Matching 25）信息检索

AI 编程盛行的时代，为什么 “『DC- WFW』” 仍然具有必要性？沼

算法的能耗模型与绿色计算优化方向的技术4

3步解决浏览器Markdown阅读难题：从乱码到专业渲染的蜕变之路

Docker 容器中运行 AI CLI 工具：用户隔离与持久化卷实战指南暗

电子电路中的“心脏”：电源铝

如何永久保存微信聊天记录：WeChatMsg本地数据备份完整指南

第十五节：启动序列——从 claude 命令到 REPL 就绪

贾子科学的历史意义与现实影响：挑战西方科学哲学霸权的新范式

Vitest单元测试教程

Jenkins 学习总结腋

2025届学术党必备的十大AI科研平台横评

ARM 架构 JuiceFS 性能优化：基于 MLPerf 的实践与调优死

OpenClaw 太难装了？试试 LangTARS：一行命令部署 + WebUI 管理面板，还能接入 Dify/Coze/nn??悠

PHP AI校验配置被低估的致命细节（内存泄漏触发点、AST解析偏差、Token限流阈值）——资深SRE连夜重写配置手册

嵌入式进阶——MCU启动与代码执行教程

学Simulink——基于Simulink的坡道起步防溜坡电机转矩控制

基于yolov8和faster-rcnn的电动车戴头盔检测，界面可选择模型，支持图像、视频和摄像实时检测【pytorch框架、python源码】

打卡信奥刷题（3078）用C++实现信奥题 P7033 [NWRRC 2016] CodeCoder vs TopForces

打卡信奥刷题（3077）用C++实现信奥题 P7023 [NWRRC 2017] Equal Numbers

法国Hornetsecurity联合里尔大学：如何让人工智能学会保护隐私

SAP MM | 物料主数据：为什么修改了“特殊采购类型”但在 MM04 查不到修改历史？

容器化网络与Kubernetes网络深度解析

Shell流程控制（if-else、循环，实现复杂逻辑）

Shell通配符与正则表达式（批量匹配，精准筛选）

Shell变量与环境变量（自定义配置，灵活复用）

Shell核心基础命令（下）——系统与权限操作