Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Règle de réclamation AD FS et paramètres SAML
<a name="adfs-claim-rule-saml"></a>

ActiveDirectory Règle de réclamation des services de fédération (AD FS) et paramètres SAML pour AWS Managed Services (AMS)

Pour step-by-step obtenir des instructions détaillées sur l'installation et la configuration d'AD FS, voir [Activation de la fédération sur AWS à l'aide de Windows Active Directory, ADFS et SAML 2.0.](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 

## Configurations des règles de réclamation ADFS
<a name="cust-have-adfs"></a>

Si vous disposez déjà d'une implémentation ADFS, configurez les éléments suivants :
+ Fier sur la confiance des parties
+ Règles relatives aux réclamations 

Les règles relatives à la confiance et aux réclamations des parties fiables sont décrites dans le blog [Enabling Federation to AWS Using Windows Active Directory, AD FS et SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ Règles relatives aux réclamations :
  + **Nameid** : Configuration par article de blog
  + **RoleSessionName**: configurez comme suit
    + **Nom de la règle de réclamation** : **RoleSessionName**
    + **Boutique d'attributs** : **Active Directory**
    + **Attribut LDAP** : **SAM-Account-Name**
    + **Type de réclamation sortante** : **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
    + **Obtenir des groupes AD** : configuration par article de [blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
    + **Réclamation de rôle** : configurez comme suit

      ```
      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
      ```

      ```
      => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));    
      ```

## console Web
<a name="adfs-web-console"></a>

Vous pouvez accéder à la console Web AWS en utilisant le lien ci-dessous en le *[ADFS-FQDN]* remplaçant par le nom de domaine complet de votre implémentation ADFS.

https :*[ADFS-FQDN]*//adfs/ls/IdpInitiatedSignOn.aspx

Votre service informatique peut déployer le lien ci-dessus auprès de la population d'utilisateurs via une politique de groupe.

## Accès à l'API et à la CLI avec SAML
<a name="api-cli-web-access"></a>

Comment configurer l'accès à l'API et à la CLI avec SAML

Les packages python proviennent des articles de blog ci-dessous :
+ NTLM : [Comment implémenter un accès fédéré à l'API et à la CLI à l'aide de SAML](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) 2.0 et d'AD FS
+ Formulaires : [comment implémenter une solution générale d' API/CLI accès fédéré à l'aide de SAML 2.0](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/)
+ PowerShell: [Comment configurer un accès d'API fédéré à AWS à l'aide de Windows PowerShell](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/)

### Configuration du script
<a name="script-config"></a>

1. À l'aide de Notepad\$1\$1, remplacez la région par défaut par la bonne région

1. À l'aide de Notepad\$1\$1, désactivez la vérification SSL pour les environnements de test et de développement

1. À l'aide de Notepad\$1\$1, configurez idpentryurl

   `https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`

### Configuration de Windows
<a name="win-rule-claim-config"></a>

Les instructions ci-dessous concernent les packages python. Les informations d'identification générées seront valides pendant 1 heure.

1. [Téléchargez et installez Python (2.7.11)](https://www.python.org/downloads/)

1. [Téléchargez et installez les outils de la CLI AWS](https://aws.amazon.com/cli/)

1. Installez l'AMS CLI :

   1. Téléchargez le fichier zip des distribuables AMS fourni par votre gestionnaire de prestation de services cloud (CSDM) et décompressez-le. 

      Plusieurs répertoires et fichiers sont mis à disposition.

   1. Ouvrez le répertoire **Managed Cloud Distributables -> CLI -> Windows** ou **Managed Cloud Distributables -> CLI -> Linux/ macOS**, selon votre système d'exploitation, et :

      Pour **Windows**, exécutez le programme d'installation approprié (cette méthode ne fonctionne que sur les systèmes Windows 32 ou 64 bits) :
      + 32 bits : ManagedCloud API\$1x86.msi
      + 64 bits : ManagedCloud API\$1x64.msi

      **Pour **Mac/Linux**, exécutez le fichier nommé : MC\$1CLI.sh.** Vous pouvez le faire en exécutant cette commande :`sh MC_CLI.sh`. **Notez que les répertoires **amscm** et **amsskms** ainsi que leur contenu doivent se trouver dans le même répertoire que le fichier MC\$1CLI.sh.**

   1. Si les informations d'identification de votre entreprise sont utilisées via la fédération avec AWS (configuration par défaut d'AMS), vous devez installer un outil de gestion des informations d'identification qui peut accéder à votre service de fédération. Par exemple, vous pouvez utiliser ce blog de sécurité AWS consacré à la [mise en œuvre d'un accès fédéré aux API et CLI à l'aide de SAML 2.0 et d'AD FS](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) pour vous aider à configurer vos outils de gestion des informations d'identification.

   1. Après l'installation, lancez `aws amscm help` et consultez `aws amsskms help` les commandes et les options.

1. Téléchargez le script SAML requis

   Téléchargez vers c:\$1aws\$1scripts

1. [Télécharger PIP](https://bootstrap.pypa.io/get-pip.py)

   Téléchargez vers c:\$1aws\$1downloads

1. Utilisation PowerShell, installation de PIP

   <pythondir>. \$1 python.exe c:\$1aws\$1downloads\$1get -pip.py

1. Utilisation PowerShell et installation du module boto

   boto d'<pythondir \$1 scripts> installation pip

1. Utilisation PowerShell du module de demandes d'installation

   demandes d'<pythondir \$1 scripts> installation pip

1. Utilisation PowerShell et installation du module de sécurité des demandes

   <pythondir \$1 scripts>requêtes d'installation pip [sécurité]

1. Utilisation PowerShell et installation du module Beautifulsoup

   <pythondir \$1 scripts>pip install beautifulsoup4

1. En utilisant PowerShell, créez un dossier appelé .aws dans le profil de l'utilisateur (%userprofile% \$1 .aws)

   mkdir .aws

1. À l'aide de PowerShell, créez un fichier d'identification dans le dossier .aws

   Informations d'identification du nouvel article : fichier de type —force

   Le fichier d'informations d'identification ne doit pas avoir d'extension de fichier

   Le nom du fichier doit être entièrement en minuscules et contenir les informations d'identification du nom.

1. Ouvrez le fichier d'informations d'identification avec le bloc-notes et collez les données suivantes en spécifiant la bonne région

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. Utilisation PowerShell du script SAML et de l'ouverture de session

   <pythondir>. \$1 python.exe c:\$1aws\$1scripts\$1samlapi.py

   Nom d'utilisateur : [USERNAME] @upn

   Choisissez le rôle que vous souhaitez assumer

### Configuration de Linux
<a name="linux-rule-claim-config"></a>

Les informations d'identification générées seront valides pendant 1 heure.

1. À l'aide de WinSCP, transférez le script SAML

1. À l'aide de WinSCP, transférez le certificat Root CA (ignorez-le pour le test et le développement)

1. Ajoutez l'autorité de certification ROOT aux certificats racines sécurisés (à ignorer pour le test et le développement)

   \$1 openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignorer pour le test et le développement)

   Ajoutez le contenu de certificate.pem à la fin du fichier/etc/ssl/certs/ca-bundle.crt (à ignorer pour le test de développement)

1. Créez un dossier .aws dans home/ec2-user 5

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. À l'aide de WinSCP, transférez le fichier d'informations d'identification dans le dossier .aws

1. Installer le module de démarrage

   \$1 sudo pip install boot

1. Module de demandes d'installation

   Demandes d'installation de \$1 sudo pip

1. Installer le module beautifulsoup

   \$1 sudo pip installer beautifulsoup4

1. Copiez le script dans home/ec2-user

   Définissez les autorisations requises

   Exécutez le script : samlapi.py