SAP-C02 第 371 题
题目
A company hosts an intranet web application on Amazon EC2 instances behind an Application Load Balancer (ALB). Currently, users authenticate to the application against an internal user database. The company needs to authenticate users to the application by using an existing AWS Directory Service for Microsoft Active Directory directory. All users with accounts in the directory must have access to the application. Which solution will meet these requirements?
中文翻译:
一家公司在应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上托管一个 Intranet Web 应用程序。目前,用户根据内部用户数据库向应用程序进行身份验证。该公司需要使用现有的 AWS Directory Service for Microsoft Active Directory 目录对应用程序的用户进行身份验证。目录中拥有帐户的所有用户都必须有权访问该应用程序。哪种解决方案可以满足这些要求?
选项
A. Create a new app client in the directory. Create a listener rule for the ALB. Specify the authenticate-oidc action for the listener rule. Configure the listener rule with the appropriate issuer, client ID and secret, and endpoint details for the Active Directory service. Configure the new app client with the callback URL that the ALB provides.
中文翻译:
在目录中创建一个新的应用程序客户端。为 ALB 创建侦听器规则。为侦听器规则指定authenticate-oidc 操作。使用适当的颁发者、客户端 ID 和密钥以及 Active Directory 服务的端点详细信息配置侦听器规则。使用 ALB 提供的回调 URL 配置新的应用程序客户端。
B. Configure an Amazon Cognito user pool. Configure the user pool with a federated identity provider (ldP) that has metadata from the directory. Create an app client. Associate the app client with the user pool. Create a listener rule for the ALSpecify the authenticate-cognito action for the listener rule. Configure the listener rule to use the user pool and app client.
中文翻译:
配置 Amazon Cognito 用户池。使用具有目录中元数据的联合身份提供程序 (ldP) 配置用户池。创建应用程序客户端。将应用程序客户端与用户池关联。为 AL 创建侦听器规则为侦听器规则指定authenticate-cognito 操作。配置侦听器规则以使用用户池和应用程序客户端。
C. Add the directory as a new IAM identity provider (ldP). Create a new IAM role that has an entity type of SAML 2.0 federation. Configure a role policy that allows access to the ALB. Configure the new role as the default authenticated user role for the ldP. Create a listener rule for the ALB. Specify the authenticate-oidc action for the listener rule.
中文翻译:
添加目录作为新的 IAM 身份提供商 (ldP)。创建一个具有 SAML 2.0 联合实体类型的新 IAM 角色。配置允许访问 ALB 的角色策略。将新角色配置为 ldP 的默认经过身份验证的用户角色。为 ALB 创建侦听器规则。为侦听器规则指定authenticate-oidc 操作。
D. Enable AWS IAM Identity Center (AWS Single Sign-On). Configure the directory as an external identity provider (ldP) that uses SAML. Use the automatic provisioning method. Create a new IAM role that has an entity type of SAML 2.0 federation. Configure a role policy that allows access to the ALB. Attach the new role to all groups. Create a listener rule for the ALB. Specify the authenticate-cognito action for the listener rule.
中文翻译:
启用 AWS IAM Identity Center(AWS 单点登录)。将目录配置为使用 SAML 的外部身份提供商 (ldP)。使用自动配置方法。创建一个具有 SAML 2.0 联合实体类型的新 IAM 角色。配置允许访问 ALB 的角色策略。将新角色附加到所有组。为 ALB 创建侦听器规则。指定侦听器规则的authenticate-cognito 操作。
答案
B
解析
正确答案:B 解析: 本题应选择 B。 正确选项: B. 配置 Amazon Cognito 用户池。使用具有目录中元数据的联合身份提供程序 (ldP) 配置用户池。创建应用程序客户端。将应用程序客户端与用户池关联。为 AL 创建侦听器规则为侦听器规则指定authenticate-cognito 操作。配置侦听器规则以使用用户池和应用程序客户端。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题...