Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración única de una aplicación de federación de IAM directa con ADFS
Esta guía describe el proceso de configuración único para configurar la federación de IAM directa y ADFS permitir el acceso de emergencia Cuentas de AWS cuando el Centro de Identidad de IAM no esté disponible.
## Requisitos previos
Si planea realizar la configuración ADFS con Microsoft AD AWS administrado, le recomendamos que primero [configure la replicación multirregional](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) y continúe con los siguientes pasos en la región adicional y no en la región principal para garantizar la resiliencia.
## Planifique la convención de nomenclatura de los grupos de Active Directory
Cree grupos de AD con un patrón de nomenclatura específico que permita la coincidencia automática entre los nombres de los grupos y las funciones de AWS IAM.
**Formato de nomenclatura de grupos**: `AWS--`
Para ver un ejemplo, consulte la cuenta de emergencia en el diagrama en [Cómo diseñar una asignación de roles, cuentas y grupos de emergencia](emergency-access-mapping-design.md). Cuando se asigna a un usuario a este grupo, se le concede acceso al `EmergencyAccess_Role1_RO` rol de la cuenta`123456789012`. Si un usuario está asociado a varios grupos, verá una lista de las funciones disponibles Cuenta de AWS y podrá elegir qué función desea asumir.
## AWS configuración
La configuración completa incluye las configuraciones de una cuenta de acceso de emergencia y de las cuentas de carga de trabajo. Para ver una ilustración de la configuración general, consulte[Cómo diseñar una asignación de roles, cuentas y grupos de emergencia](emergency-access-mapping-design.md).
1. [Cree un proveedor de identidades SAML](#emergency-access-adfs-create-saml-provider)
1. [Cree funciones de acceso de emergencia](#emergency-access-adfs-create-roles)
1. [Configure los roles de las cuentas de carga](#emergency-access-adfs-configure-workload-accounts)
### Cree un proveedor de identidades SAML
En la cuenta de acceso de emergencia, cree un proveedor de identidades SAML en IAM siguiendo los pasos que se indican en [Crear un proveedor de identidades SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en IAM. Descarga los metadatos necesarios de tu servidor: ADFS
`https:///FederationMetadata/2007-06/FederationMetadata.xml`
### Cree funciones de acceso de emergencia
[Cree funciones de acceso de emergencia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) en la cuenta de emergencia utilizando la federación SAML 2.0 como tipo de entidad de confianza. Selecciona el proveedor de SAML 2.0 que creaste en el paso anterior.
**Consideraciones:**
+ **Incluya todas las regiones en las que opera**: seleccione todas las regiones en las que tenga cargas de trabajo activas para garantizar que la federación siga disponible durante una interrupción regional.
+ **Configure al menos un punto final regional adicional, incluso si opera en una sola región**; por ejemplo, si solo opera en ella`us-east-1`, agréguelo `us-west-2` como punto final secundario. Puede transferir por error su IdP al punto de inicio de sesión de `us-west-2` SAML y seguir accediendo a sus `us-east-1` recursos, incluso sin ninguna carga de trabajo incorporada. `us-west-2`
+ **Habilite tanto el punto final no regional como el punto final regional**: aunque el punto final no regional (`https://signin.aws.amazon.com/saml`) tiene una alta disponibilidad, está alojado en un único punto final regional () Región de AWS`us-east-1`, mientras que los puntos finales regionales (`https://.signin.aws.amazon.com/saml`) mejoran la resiliencia al reducir la dependencia de un único punto final global.
**Configure la política de confianza**
Consulte un [Configuración única de una aplicación de federación de IAM directa en Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) ejemplo de política de confianza con varios puntos de conexión regionales de inicio de sesión. Sustituya los puntos de enlace regionales y el proveedor de SAML de ejemplo por los suyos. ARNs
**Configure las políticas de permisos**
Consulte un [Configuración única de una aplicación de federación de IAM directa en Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) ejemplo de la política de permisos que adjunta a las funciones de acceso de emergencia.
### Configure los roles de las cuentas de carga
Para las funciones de la cuenta de carga de trabajo, configure una política de confianza personalizada que permita que las funciones de acceso de emergencia de la cuenta de acceso de emergencia las asuman. Consulte un [Configuración única de una aplicación de federación de IAM directa en Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) ejemplo de política de confianza, donde la cuenta `123456789012` es la cuenta de acceso de emergencia.
## Configuración de Active Directory
En los siguientes pasos se describe cómo configurar Active Directory y ADFS el acceso de emergencia.
1. [Crear grupos](#emergency-access-adfs-create-groups)
1. [Cree una parte de confianza](#emergency-access-adfs-create-relying-party)
1. [Cree reglas de reclamación](#emergency-access-adfs-create-claim-rules)
### Crear grupos
Cree grupos de emergencia en Active Directory de acuerdo con la convención de nomenclatura descrita anteriormente (por ejemplo,`AWS-123456789012-EmergencyAccess_Role1_RO`). Asigne usuarios a estos grupos mediante sus mecanismos de aprovisionamiento existentes.
### Cree una parte de confianza
ADFSla federación requiere una configuración de parte de confianza. La parte que confía es AWS Security Token Service (AWS STS), que subcontrata la autenticación ADFS como proveedor de identidad.
1. En la consola ADFS de administración, utilice el menú Acción y seleccione **Añadir la confianza de la persona que confía**. Seleccione **Reclamaciones pendientes** al añadir una parte de confianza.
1. Para los metadatos de la federación, introduzca la URL de los metadatos de la información de metadatos del proveedor de identidad en la consola de IAM. Por ejemplo:
`https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml`
1. Defina el nombre para mostrar de la parte que confía (por ejemplo, **AWS Account Access**) y, a continuación, seleccione **Siguiente**.
1. Selecciona a quién quieres permitir el acceso AWS. Puede seleccionar grupos específicos y definir requisitos como el MFA.
1. Seleccione **Cerrar** en la página de finalización para completar el asistente de creación de confianza de personas que confían en el usuario. AWS ahora está configurado como una parte que confía.
### Cree reglas de reclamación
ADFSutiliza el lenguaje de normas de reclamaciones para emitir y transformar las reclamaciones entre los proveedores de reclamaciones y las partes que confían en ellas. Debe crear cuatro reglas de reclamación: NameId Get AD Groups y Roles for AWS Access. RoleSessionName
Haga clic con el botón derecho en la parte que confía y, a continuación, seleccione **Editar política de emisión de reclamaciones**. Seleccione **Añadir regla** para añadir reglas.
**1NameId**.
1. Selecciona **Transformar una reclamación entrante** y, a continuación, selecciona **Siguiente**.
1. Utilice los siguientes valores:
+ Nombre de la regla de reclamación: `NameId`
+ Tipo de reclamación entrante: `Windows Account Name`
+ Tipo de reclamación saliente: `Name ID`
+ Formato de ID de nombre saliente: `Persistent Identifier`
+ Comprobar todos los valores de las reclamaciones: marcado
1. Seleccione **Aceptar**.
**2. RoleSessionName**
1. Seleccione **Add Rule (Agregar regla)**.
1. En la lista de plantillas de reglas de reclamación, seleccione **Enviar atributos de LDAP como notificaciones**.
1. Utilice los siguientes valores:
+ Nombre de la regla de reclamación: `RoleSessionName`
+ Almacén de atributos: `Active Directory`
+ Atributo de LDAP: `E-Mail-Addresses`
+ Tipo de reclamación saliente: `https://aws.amazon.com/SAML/Attributes/RoleSessionName`
1. Seleccione **Aceptar**.
**3. Obtenga grupos de AD**
1. Seleccione **Add Rule (Agregar regla)**.
1. En la lista de plantillas de reglas de reclamación, selecciona **Enviar reclamaciones mediante una regla personalizada** y, a continuación, selecciona **Siguiente**.
1. En Nombre de la regla de reclamación`Get AD Groups`, introduzca y, a continuación, en Regla personalizada, introduzca lo siguiente:
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
```
Esta regla personalizada utiliza un script en el lenguaje de las reglas de notificación que recupera todos los grupos de los que es miembro el usuario autenticado y los coloca en una notificación temporal denominada. `http://temp/variable`
**nota**
Asegúrese de que no haya ningún espacio en blanco al final para evitar resultados inesperados.
**4. Atributos del rol**
1. Seleccione **Add Rule (Agregar regla)**.
1. En la lista de plantillas de reglas de reclamación, seleccione **Enviar reclamaciones mediante una regla personalizada** y, a continuación, elija **Siguiente**.
1. En Nombre de la regla de reclamación`Roles`, introduzca y, a continuación, en Regla personalizada, introduzca lo siguiente:
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/,arn:aws:iam::$1:role/"));
```
Esta regla personalizada utiliza expresiones regulares para transformar cada una de las pertenencias a grupos del formulario `AWS--` en el ARN del rol de IAM y el ARN del proveedor de federación de IAM que se espera. AWS
**nota**
En el ejemplo de lenguaje de reglas anterior, `ADFS` representa el nombre lógico dado al proveedor de identidades SAML en la configuración del proveedor de identidades. AWS Cámbielo en función del nombre lógico que haya elegido en la consola de IAM para su proveedor de identidad.
## Probar la configuración
Compruebe que la solución funciona autenticándose en. `https:///adfs/ls/IdpInitiatedSignOn.aspx` Selecciona el nombre de la parte de confianza que creaste en la lista desplegable de sitios.
## Actualiza el punto final de aserción de SAML predeterminado en ADFS
**importante**
Al configurar la confianza de la parte de confianza enADFS, el punto final de aserción de SAML se establece de forma predeterminada en el `https://signin.aws.amazon.com/` que no se trata de un punto final global y se encuentra en. `us-east-1` Le recomendamos que modifique el punto final predeterminado por un punto final regional diferente del lugar en el que está configurado su centro de identidad de IAM para garantizar la resiliencia. Por ejemplo, si su centro de identidad de IAM está desplegado `us-east-1` y usted también opera en él`us-west-2`, cambie el punto final predeterminado para consumidores de SAML Assertion a. `https://us-west-2.signin.aws.amazon.com/saml`
1. **Seleccione **Propiedades** en la carpeta de confianza de la parte que confía y vaya a la pestaña Supervisión.** Desactive la casilla **Actualizar automáticamente la parte que confía**.
1. **Ve a la pestaña **Puntos** de conexión, selecciona tu terminal de inicio de sesión preferido y selecciona Editar.**
1. Selecciona la casilla **Establecer la URL de confianza** como predeterminada. Seleccione **Aceptar** y **Aplicar** para que la configuración surta efecto.
**nota**
La mayoría IdPs permiten mantener desactivada la integración de una aplicación hasta que sea necesaria. Le recomendamos que mantenga la aplicación de federación de IAM directa desactivada en su IdP hasta que sea necesaria para el acceso de emergencia.