Einmalige Einrichtung einer direkten IAM-Verbundanwendung mit ADFS - AWS IAM Identity Center
VoraussetzungenPlanen Sie Ihre Active Directory-GruppenbenennungskonventionAWS KonfigurationActive Directory-KonfigurationTesten der KonfigurationAktualisieren Sie den standardmäßigen SAML-Assertion-Endpunkt in ADFS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einmalige Einrichtung einer direkten IAM-Verbundanwendung mit ADFS

In diesem Handbuch wird der einmalige Einrichtungsprozess für die Konfiguration des direkten IAM-Verbunds beschrieben, um den Notfallzugriff ADFS zu ermöglichen, AWS-Konten wenn IAM Identity Center nicht verfügbar ist.

Voraussetzungen

Wenn Sie eine Konfiguration ADFS mit AWS Managed Microsoft AD planen, empfehlen wir aus Gründen der Ausfallsicherheit, zunächst die Replikation mit mehreren Regionen zu konfigurieren und mit den folgenden Schritten in der zusätzlichen Region und nicht in der primären Region fortzufahren.

Planen Sie Ihre Active Directory-Gruppenbenennungskonvention

Erstellen Sie AD-Gruppen mithilfe eines bestimmten Benennungsmusters, das einen automatisierten Abgleich zwischen Gruppennamen und AWS IAM-Rollen ermöglicht.

Format der Gruppenbenennung: AWS-<AccountNumber>-<RoleName>

Eine Veranschaulichung finden Sie in der Abbildung unten unter dem NotfallkontoWie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle. Wenn ein Benutzer dieser Gruppe zugewiesen wird, erhält er Zugriff auf die EmergencyAccess_Role1_RO Rolle im Konto123456789012. Wenn ein Benutzer mehreren Gruppen zugeordnet ist, wird ihm eine Liste der verfügbaren Rollen angezeigt AWS-Konto und er kann auswählen, welche Rolle er annehmen möchte.

AWS Konfiguration

Das komplette Setup umfasst Konfigurationen in einem Notfallzugriffskonto und den Workload-Konten. Eine Veranschaulichung der Gesamtkonfiguration finden Sie unterWie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle.

  1. Erstellen Sie einen SAML-Identitätsanbieter

  2. Rollen für den Notfallzugriff erstellen

  3. Konfigurieren Sie die Rollen der Workload-Konten

Erstellen Sie einen SAML-Identitätsanbieter

Erstellen Sie im Notfallzugriffskonto einen SAML-Identitätsanbieter in IAM, indem Sie die Schritte unter SAML-Identitätsanbieter in IAM erstellen ausführen. Laden Sie die erforderlichen Metadaten von Ihrem Server herunter: ADFS

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Rollen für den Notfallzugriff erstellen

Erstellen Sie Notfallzugriffsrollen im Notfallkonto, indem Sie den SAML 2.0-Verbund als vertrauenswürdigen Entitätstyp verwenden. Wählen Sie den SAML 2.0-Anbieter aus, den Sie im vorherigen Schritt erstellt haben.

Überlegungen:

  • Schließen Sie alle Regionen ein, in denen Sie tätig sind — wählen Sie alle Regionen aus, in denen Sie aktive Workloads haben, um sicherzustellen, dass der Verbund auch während einer regionalen Unterbrechung verfügbar bleibt.

  • Konfigurieren Sie mindestens einen zusätzlichen regionalen Endpunkt, auch wenn Sie in einer einzigen Region tätig sind. Wenn Sie beispielsweise nur in einer Region tätig sindus-east-1, fügen Sie ihn us-west-2 als sekundären Endpunkt hinzu. Sie können einen Failover Ihres IdP zum us-west-2 SAML-Anmeldeendpunkt durchführen und trotzdem auf Ihre us-east-1 Ressourcen zugreifen, auch ohne dass Workloads eingehen. us-west-2

  • Aktivieren Sie sowohl den nichtregionalen Endpunkt als auch die regionalen Endpunkte — Der überregionale Endpunkt (https://signin.aws.amazon.com/saml) ist zwar hochverfügbar, wird aber auf einem einzigen Server gehostet, während regionale Endpunkte (https://<region>.signin.aws.amazon.com/saml) die Ausfallsicherheit verbessern AWS-Regionus-east-1, indem sie die Abhängigkeit von einem einzigen globalen Endpunkt verringern.

Konfigurieren Sie die Vertrauensrichtlinie

Ein Beispiel Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta für eine Vertrauensrichtlinie mit mehreren regionalen Endpunkten für die Anmeldung finden Sie unter. Ersetzen Sie das Beispiel für regionale Endpunkte und den SAML-Anbieter durch Ihren eigenen. ARNs

Konfigurieren Sie Berechtigungsrichtlinien

Ein Beispiel Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta für eine Berechtigungsrichtlinie, die Sie den Notfallzugriffsrollen zuordnen, finden Sie unter.

Konfigurieren Sie die Rollen der Workload-Konten

Konfigurieren Sie für die Workload-Kontorollen eine benutzerdefinierte Vertrauensrichtlinie, die es den Notfallzugriffsrollen im Notfallzugriffskonto ermöglicht, sie zu übernehmen. Ein Beispiel Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta für eine Vertrauensrichtlinie finden Sie, wobei Konto das Notfallzugriffskonto 123456789012 ist.

Active Directory-Konfiguration

In den folgenden Schritten wird beschrieben, wie Active Directory und ADFS der Notfallzugriff konfiguriert werden.

  1. Gruppen erstellen

  2. Erstellen Sie eine vertrauende Partei

  3. Regeln für Ansprüche erstellen

Gruppen erstellen

Erstellen Sie Notfallgruppen in Active Directory gemäß der zuvor beschriebenen Namenskonvention (z. B.AWS-123456789012-EmergencyAccess_Role1_RO). Weisen Sie diesen Gruppen mithilfe Ihrer vorhandenen Bereitstellungsmechanismen Benutzer zu.

Erstellen Sie eine vertrauende Partei

ADFSFür den Verbund ist eine Konfiguration der vertrauenden Partei erforderlich. Die vertrauende Partei ist AWS -Security-Token-Service (AWS STS), die die Authentifizierung an ADFS den Identitätsanbieter auslagert.

  1. Wählen Sie in der ADFS Managementkonsole im Aktionsmenü die Option Vertrauensstellung der vertrauenden Partei hinzufügen aus. Wählen Sie Claims Aware aus, wenn Sie eine vertrauende Partei hinzufügen.

  2. Geben Sie für Verbund-Metadaten die Metadaten-URL aus den Metadateninformationen des Identitätsanbieters auf der IAM-Konsole ein. Beispiel:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Legen Sie den Anzeigenamen für die vertrauende Partei fest (z. B. AWS Kontozugriff) und wählen Sie dann Weiter.

  4. Wählen Sie aus, wem Sie Zugriff gewähren möchten AWS. Sie können bestimmte Gruppen auswählen und Anforderungen wie MFA definieren.

  5. Wählen Sie auf der Seite „Fertig stellen“ die Option „Schließen“, um den Assistenten zum Hinzufügen vertrauensvoller Parteien abzuschließen. AWS ist jetzt als vertrauende Partei konfiguriert.

Regeln für Ansprüche erstellen

ADFSverwendet die Claims Rule Language, um Ansprüche zwischen Antragstellern und vertrauenden Parteien auszustellen und zu transformieren. Sie müssen vier Anspruchsregeln erstellen:NameId,RoleSessionName, Get AD Groups und Roles for AWS Access.

Klicken Sie mit der rechten Maustaste auf die vertrauende Partei und wählen Sie dann Richtlinie zur Ausstellung von Ansprüchen bearbeiten aus. Wählen Sie Regel hinzufügen, um Regeln hinzuzufügen.

1NameId.

  1. Wählen Sie „Eingehenden Anspruch umwandeln“ und anschließend „Weiter“.

  2. Verwenden Sie die folgenden Einstellungen:

    • Name der Anspruchsregel: NameId

    • Art des eingehenden Antrags: Windows Account Name

    • Art des ausgehenden Antrags: Name ID

    • ID-Format für ausgehende Namen: Persistent Identifier

    • Alle Antragswerte durchgehen: aktiviert

  3. Wählen Sie OK aus.

2. RoleSessionName

  1. Klicken Sie auf Add Rule (Regel hinzufügen).

  2. Wählen Sie in der Liste der Vorlagen für Anspruchsregeln die Option LDAP-Attribute als Ansprüche senden aus.

  3. Verwenden Sie die folgenden Einstellungen:

    • Name der Anspruchsregel: RoleSessionName

    • Attributspeicher: Active Directory

    • LDAP-Attribut: E-Mail-Addresses

    • Art des ausgehenden Anspruchs: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Wählen Sie OK aus.

3. Holen Sie sich AD-Gruppen

  1. Klicken Sie auf Add Rule (Regel hinzufügen).

  2. Wählen Sie in der Liste der Vorlagen für Anspruchsregeln die Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie dann auf Weiter.

  3. Geben Sie Get AD Groups als Name der Anspruchsregel Folgendes ein und geben Sie dann im Feld Benutzerdefinierte Regel Folgendes ein:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Diese benutzerdefinierte Regel verwendet ein Skript in der Sprache der Anspruchsregeln, das alle Gruppen abruft, in denen der authentifizierte Benutzer Mitglied ist, und sie in einen temporären Anspruch mit dem Namen einfügt. http://temp/variable

    Anmerkung

    Stellen Sie sicher, dass kein Leerzeichen am Ende steht, um unerwartete Ergebnisse zu vermeiden.

4. Rollenattribute

  1. Klicken Sie auf Add Rule (Regel hinzufügen).

  2. Wählen Sie in der Liste der Vorlagen für Anspruchsregeln die Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus und klicken Sie dann auf Weiter.

  3. Geben Sie Roles als Name der Anspruchsregel Folgendes ein und geben Sie dann im Feld Benutzerdefinierte Regel Folgendes ein:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Diese benutzerdefinierte Regel verwendet reguläre Ausdrücke, um jede Gruppenmitgliedschaft des Formulars AWS-<Account Number>-<Role Name> in das erwartete ARN-Formular für die IAM-Rolle und ARN ARN-Formular des IAM-Verbundanbieters umzuwandeln. AWS

    Anmerkung

    Im obigen Beispiel ADFS steht die Regelsprache für den logischen Namen, der dem SAML-Identitätsanbieter im Identitätsanbieter-Setup gegeben wurde. AWS Ändern Sie dies auf der Grundlage des logischen Namens, den Sie in der IAM-Konsole für Ihren Identitätsanbieter ausgewählt haben.

Testen der Konfiguration

Testen Sie, ob die Lösung funktioniert, indem Sie sich unter authentifizieren. https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx Wählen Sie den Namen der vertrauenden Partei, die Sie erstellt haben, aus der Dropdownliste der Websites aus.

Aktualisieren Sie den standardmäßigen SAML-Assertion-Endpunkt in ADFS

Wichtig

Bei der Konfiguration des Vertrauens der vertrauenden Partei wird standardmäßig der SAML-Assertion-Endpunkt auf den Endpunkt gesetzthttps://signin.aws.amazon.com/, der kein globaler Endpunkt ist und sich in befindet. ADFS us-east-1 Wir empfehlen, dass Sie den Standardendpunkt auf einen regionalen Endpunkt ändern, der sich von dem unterscheidet, an dem Ihr IAM Identity Center aus Gründen der Resilienz konfiguriert ist. Wenn Ihr IAM Identity Center beispielsweise in bereitgestellt wird us-east-1 und Sie dort auch arbeitenus-west-2, ändern Sie den standardmäßigen SAML Assertion-Verbraucherendpunkt auf. https://us-west-2.signin.aws.amazon.com/saml

  1. Wählen Sie „Eigenschaften“ für den Trust der vertrauenden Partei aus und wechseln Sie zur Registerkarte „Überwachung“. Deaktivieren Sie das Kontrollkästchen Vertrauende Partei automatisch aktualisieren.

  2. Gehen Sie zur Registerkarte Endpunkte, wählen Sie Ihren bevorzugten Anmeldeendpunkt aus und klicken Sie auf Bearbeiten.

  3. Aktivieren Sie das Kontrollkästchen Vertrauenswürdige URL als Standard festlegen. Wählen Sie OK und Anwenden, damit die Einstellung wirksam wird.

Anmerkung

In den IdPs meisten Fällen können Sie eine Anwendungsintegration so lange deaktivieren, bis sie benötigt wird. Wir empfehlen Ihnen, die direkte IAM-Verbundanwendung in Ihrem IdP so lange deaktiviert zu lassen, bis sie für den Notfallzugriff benötigt wird.