パスワードと MFA を使用して OneLogin にサインインすることにより、ユーザーが特定の AWS ロールの一連の一時的な CLI 資格情報を取得できるようにしたいと考えています。有効なソリューションがありますが、AWS 一時認証情報の有効期限が切れるため、ユーザーは 60 分ごとに OneLogin (MFA を含む) に対して完全に再認証する必要があります。それはうまくいかないと思います。私たちのユーザーは、実際の IAM ユーザーに関連付けられた永続的な API 資格情報に慣れています。
理想的には、ユーザーが 1 日 1 回認証できるようにし、結果の SAML アサーションを安全にキャッシュし、それを使用して必要に応じて AWS API 資格情報を透過的に更新できるようにしたいと考えています。ローカル OS 資格情報ストアを使用して SAML アサーションを記憶し、OneLogin セッションがタイムアウトしたときにのみユーザーに入力を求めるaws-keychainのようなものを考えています。
これはほとんどそのまま機能します。問題は、OneLogin のsaml_assertionandエンドポイントによって返される SAML アサーションがandフィールドverify_factorに 3 分の期限を設定することです。SubjectConditions
私たちが望むことを行う方法はありますか、それともコア SAML 原則を回避しようとしていますか?