View a markdown version of this page

Configuración única de una aplicación de federación de IAM directa con ADFS - AWS IAM Identity Center
Requisitos previosPlanifique la convención de nomenclatura de los grupos de Active DirectoryAWS configuraciónConfiguración de Active DirectoryProbar la configuraciónActualiza el punto final de aserción de SAML predeterminado en ADFS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración única de una aplicación de federación de IAM directa con ADFS

Esta guía describe el proceso de configuración único para configurar la federación de IAM directa y ADFS permitir el acceso de emergencia Cuentas de AWS cuando el Centro de Identidad de IAM no esté disponible.

Requisitos previos

Si planea realizar la configuración ADFS con Microsoft AD AWS administrado, le recomendamos que primero configure la replicación multirregional y continúe con los siguientes pasos en la región adicional y no en la región principal para garantizar la resiliencia.

Planifique la convención de nomenclatura de los grupos de Active Directory

Cree grupos de AD con un patrón de nomenclatura específico que permita la coincidencia automática entre los nombres de los grupos y las funciones de AWS IAM.

Formato de nomenclatura de grupos: AWS-<AccountNumber>-<RoleName>

Para ver un ejemplo, consulte la cuenta de emergencia en el diagrama en Cómo diseñar una asignación de roles, cuentas y grupos de emergencia. Cuando se asigna a un usuario a este grupo, se le concede acceso al EmergencyAccess_Role1_RO rol de la cuenta123456789012. Si un usuario está asociado a varios grupos, verá una lista de las funciones disponibles Cuenta de AWS y podrá elegir qué función desea asumir.

AWS configuración

La configuración completa incluye las configuraciones de una cuenta de acceso de emergencia y de las cuentas de carga de trabajo. Para ver una ilustración de la configuración general, consulteCómo diseñar una asignación de roles, cuentas y grupos de emergencia.

  1. Cree un proveedor de identidades SAML

  2. Cree funciones de acceso de emergencia

  3. Configure los roles de las cuentas de carga

Cree un proveedor de identidades SAML

En la cuenta de acceso de emergencia, cree un proveedor de identidades SAML en IAM siguiendo los pasos que se indican en Crear un proveedor de identidades SAML en IAM. Descarga los metadatos necesarios de tu servidor: ADFS

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Cree funciones de acceso de emergencia

Cree funciones de acceso de emergencia en la cuenta de emergencia utilizando la federación SAML 2.0 como tipo de entidad de confianza. Selecciona el proveedor de SAML 2.0 que creaste en el paso anterior.

Consideraciones:

  • Incluya todas las regiones en las que opera: seleccione todas las regiones en las que tenga cargas de trabajo activas para garantizar que la federación siga disponible durante una interrupción regional.

  • Configure al menos un punto final regional adicional, incluso si opera en una sola región; por ejemplo, si solo opera en ellaus-east-1, agréguelo us-west-2 como punto final secundario. Puede transferir por error su IdP al punto de inicio de sesión de us-west-2 SAML y seguir accediendo a sus us-east-1 recursos, incluso sin ninguna carga de trabajo incorporada. us-west-2

  • Habilite tanto el punto final no regional como el punto final regional: aunque el punto final no regional (https://signin.aws.amazon.com/saml) tiene una alta disponibilidad, está alojado en un único punto final regional () Región de AWSus-east-1, mientras que los puntos finales regionales (https://<region>.signin.aws.amazon.com/saml) mejoran la resiliencia al reducir la dependencia de un único punto final global.

Configure la política de confianza

Consulte un Configuración única de una aplicación de federación de IAM directa en Okta ejemplo de política de confianza con varios puntos de conexión regionales de inicio de sesión. Sustituya los puntos de enlace regionales y el proveedor de SAML de ejemplo por los suyos. ARNs

Configure las políticas de permisos

Consulte un Configuración única de una aplicación de federación de IAM directa en Okta ejemplo de la política de permisos que adjunta a las funciones de acceso de emergencia.

Configure los roles de las cuentas de carga

Para las funciones de la cuenta de carga de trabajo, configure una política de confianza personalizada que permita que las funciones de acceso de emergencia de la cuenta de acceso de emergencia las asuman. Consulte un Configuración única de una aplicación de federación de IAM directa en Okta ejemplo de política de confianza, donde la cuenta 123456789012 es la cuenta de acceso de emergencia.

Configuración de Active Directory

En los siguientes pasos se describe cómo configurar Active Directory y ADFS el acceso de emergencia.

  1. Crear grupos

  2. Cree una parte de confianza

  3. Cree reglas de reclamación

Crear grupos

Cree grupos de emergencia en Active Directory de acuerdo con la convención de nomenclatura descrita anteriormente (por ejemplo,AWS-123456789012-EmergencyAccess_Role1_RO). Asigne usuarios a estos grupos mediante sus mecanismos de aprovisionamiento existentes.

Cree una parte de confianza

ADFSla federación requiere una configuración de parte de confianza. La parte que confía es AWS Security Token Service (AWS STS), que subcontrata la autenticación ADFS como proveedor de identidad.

  1. En la consola ADFS de administración, utilice el menú Acción y seleccione Añadir la confianza de la persona que confía. Seleccione Reclamaciones pendientes al añadir una parte de confianza.

  2. Para los metadatos de la federación, introduzca la URL de los metadatos de la información de metadatos del proveedor de identidad en la consola de IAM. Por ejemplo:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Defina el nombre para mostrar de la parte que confía (por ejemplo, AWS Account Access) y, a continuación, seleccione Siguiente.

  4. Selecciona a quién quieres permitir el acceso AWS. Puede seleccionar grupos específicos y definir requisitos como el MFA.

  5. Seleccione Cerrar en la página de finalización para completar el asistente de creación de confianza de personas que confían en el usuario. AWS ahora está configurado como una parte que confía.

Cree reglas de reclamación

ADFSutiliza el lenguaje de normas de reclamaciones para emitir y transformar las reclamaciones entre los proveedores de reclamaciones y las partes que confían en ellas. Debe crear cuatro reglas de reclamación: NameId Get AD Groups y Roles for AWS Access. RoleSessionName

Haga clic con el botón derecho en la parte que confía y, a continuación, seleccione Editar política de emisión de reclamaciones. Seleccione Añadir regla para añadir reglas.

1NameId.

  1. Selecciona Transformar una reclamación entrante y, a continuación, selecciona Siguiente.

  2. Utilice los siguientes valores:

    • Nombre de la regla de reclamación: NameId

    • Tipo de reclamación entrante: Windows Account Name

    • Tipo de reclamación saliente: Name ID

    • Formato de ID de nombre saliente: Persistent Identifier

    • Comprobar todos los valores de las reclamaciones: marcado

  3. Seleccione Aceptar.

2. RoleSessionName

  1. Seleccione Add Rule (Agregar regla).

  2. En la lista de plantillas de reglas de reclamación, seleccione Enviar atributos de LDAP como notificaciones.

  3. Utilice los siguientes valores:

    • Nombre de la regla de reclamación: RoleSessionName

    • Almacén de atributos: Active Directory

    • Atributo de LDAP: E-Mail-Addresses

    • Tipo de reclamación saliente: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Seleccione Aceptar.

3. Obtenga grupos de AD

  1. Seleccione Add Rule (Agregar regla).

  2. En la lista de plantillas de reglas de reclamación, selecciona Enviar reclamaciones mediante una regla personalizada y, a continuación, selecciona Siguiente.

  3. En Nombre de la regla de reclamaciónGet AD Groups, introduzca y, a continuación, en Regla personalizada, introduzca lo siguiente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Esta regla personalizada utiliza un script en el lenguaje de las reglas de notificación que recupera todos los grupos de los que es miembro el usuario autenticado y los coloca en una notificación temporal denominada. http://temp/variable

    nota

    Asegúrese de que no haya ningún espacio en blanco al final para evitar resultados inesperados.

4. Atributos del rol

  1. Seleccione Add Rule (Agregar regla).

  2. En la lista de plantillas de reglas de reclamación, seleccione Enviar reclamaciones mediante una regla personalizada y, a continuación, elija Siguiente.

  3. En Nombre de la regla de reclamaciónRoles, introduzca y, a continuación, en Regla personalizada, introduzca lo siguiente:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Esta regla personalizada utiliza expresiones regulares para transformar cada una de las pertenencias a grupos del formulario AWS-<Account Number>-<Role Name> en el ARN del rol de IAM y el ARN del proveedor de federación de IAM que se espera. AWS

    nota

    En el ejemplo de lenguaje de reglas anterior, ADFS representa el nombre lógico dado al proveedor de identidades SAML en la configuración del proveedor de identidades. AWS Cámbielo en función del nombre lógico que haya elegido en la consola de IAM para su proveedor de identidad.

Probar la configuración

Compruebe que la solución funciona autenticándose en. https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx Selecciona el nombre de la parte de confianza que creaste en la lista desplegable de sitios.

Actualiza el punto final de aserción de SAML predeterminado en ADFS

importante

Al configurar la confianza de la parte de confianza enADFS, el punto final de aserción de SAML se establece de forma predeterminada en el https://signin.aws.amazon.com/ que no se trata de un punto final global y se encuentra en. us-east-1 Le recomendamos que modifique el punto final predeterminado por un punto final regional diferente del lugar en el que está configurado su centro de identidad de IAM para garantizar la resiliencia. Por ejemplo, si su centro de identidad de IAM está desplegado us-east-1 y usted también opera en élus-west-2, cambie el punto final predeterminado para consumidores de SAML Assertion a. https://us-west-2.signin.aws.amazon.com/saml

  1. Seleccione Propiedades en la carpeta de confianza de la parte que confía y vaya a la pestaña Supervisión. Desactive la casilla Actualizar automáticamente la parte que confía.

  2. Ve a la pestaña Puntos de conexión, selecciona tu terminal de inicio de sesión preferido y selecciona Editar.

  3. Selecciona la casilla Establecer la URL de confianza como predeterminada. Seleccione Aceptar y Aplicar para que la configuración surta efecto.

nota

La mayoría IdPs permiten mantener desactivada la integración de una aplicación hasta que sea necesaria. Le recomendamos que mantenga la aplicación de federación de IAM directa desactivada en su IdP hasta que sea necesaria para el acceso de emergencia.