View a markdown version of this page

Configuration unique d'une application de fédération IAM directe avec ADFS - AWS IAM Identity Center
Conditions préalablesPlanifiez votre convention de dénomination des groupes Active DirectoryAWS configurationConfiguration d'Active DirectoryTester la configurationMettre à jour le point de terminaison d'assertion SAML par défaut dans ADFS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration unique d'une application de fédération IAM directe avec ADFS

Ce guide décrit le processus de configuration unique permettant de configurer la fédération IAM directe afin de ADFS permettre un accès d'urgence Comptes AWS lorsque IAM Identity Center n'est pas disponible.

Conditions préalables

Si vous envisagez de configurer ADFS avec AWS Managed Microsoft AD, nous vous recommandons de configurer d'abord la réplication multirégionale et de poursuivre les étapes suivantes dans la région supplémentaire et non dans la région principale pour des raisons de résilience.

Planifiez votre convention de dénomination des groupes Active Directory

Créez des groupes AD à l'aide d'un modèle de dénomination spécifique qui permet une correspondance automatique entre les noms de groupes et les rôles AWS IAM.

Format de dénomination des groupes : AWS-<AccountNumber>-<RoleName>

Pour une illustration, voir le compte d'urgence dans le schéma ci-dessousComment concevoir un mappage des rôles, des comptes et des groupes en cas d'urgence. Lorsqu'un utilisateur est affecté à ce groupe, il a accès au EmergencyAccess_Role1_RO rôle dans le compte123456789012. Si un utilisateur est associé à plusieurs groupes, il voit la liste des rôles disponibles Compte AWS et peut choisir le rôle à assumer.

AWS configuration

La configuration complète inclut les configurations d'un compte d'accès d'urgence et des comptes de charge de travail. Pour une illustration de la configuration globale, voirComment concevoir un mappage des rôles, des comptes et des groupes en cas d'urgence.

  1. Création d'un fournisseur d'identité SAML

  2. Création de rôles d'accès d'urgence

  3. Configurer les rôles des comptes de charge de travail

Création d'un fournisseur d'identité SAML

Dans le compte d'accès d'urgence, créez un fournisseur d'identité SAML dans IAM en suivant les étapes décrites dans Créer un fournisseur d'identité SAML dans IAM. Téléchargez les métadonnées requises depuis votre ADFS serveur :

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Création de rôles d'accès d'urgence

Créez des rôles d'accès d'urgence dans le compte d'urgence en utilisant la fédération SAML 2.0 comme type d'entité de confiance. Sélectionnez le fournisseur SAML 2.0 que vous avez créé à l'étape précédente.

Considérations :

  • Incluez toutes les régions dans lesquelles vous exercez vos activités : sélectionnez toutes les régions dans lesquelles vous avez des charges de travail actives pour vous assurer que la fédération reste disponible en cas de perturbation régionale.

  • Configurez au moins un point de terminaison régional supplémentaire, même si vous opérez dans une seule région. Par exemple, si vous n'opérez que dansus-east-1, ajoutez-le en us-west-2 tant que point de terminaison secondaire. Vous pouvez transférer votre IdP vers le point de terminaison de connexion us-west-2 SAML tout en continuant à accéder à vos us-east-1 ressources, même sans aucune charge de travail. us-west-2

  • Activez à la fois le point de terminaison non régional et le point de terminaison régional : bien que le point de terminaison non régional (https://signin.aws.amazon.com/saml) soit hautement disponible, il est hébergé dans un seul terminal Région AWSus-east-1, tandis que les points de terminaison régionaux (https://<region>.signin.aws.amazon.com/saml) améliorent la résilience en réduisant la dépendance à l'égard d'un seul point de terminaison mondial.

Configuration de la politique de confiance

Reportez-vous à un Configuration unique d'une application de fédération IAM directe dans Okta exemple de politique de confiance avec plusieurs points de terminaison régionaux de connexion. Remplacez les points de terminaison régionaux et le fournisseur ARNs SAML de l'échantillon par les vôtres.

Configuration des politiques d'autorisation

Reportez-vous à un Configuration unique d'une application de fédération IAM directe dans Okta exemple de politique d'autorisation que vous associez aux rôles d'accès d'urgence.

Configurer les rôles des comptes de charge de travail

Pour les rôles du compte de charge de travail, configurez une politique de confiance personnalisée qui permet aux rôles d'accès d'urgence du compte d'accès d'urgence de les assumer. Reportez-vous à un Configuration unique d'une application de fédération IAM directe dans Okta exemple de politique de confiance, où le compte 123456789012 est le compte d'accès d'urgence.

Configuration d'Active Directory

Les étapes suivantes décrivent comment configurer Active Directory et ADFS pour l'accès d'urgence.

  1. Création de groupes

  2. Créez un groupe de confiance

  3. Créez des règles de réclamation

Création de groupes

Créez des groupes d'urgence dans Active Directory conformément à la convention de dénomination décrite précédemment (par exemple,AWS-123456789012-EmergencyAccess_Role1_RO). Affectez des utilisateurs à ces groupes par le biais de vos mécanismes de provisionnement existants.

Créez un groupe de confiance

ADFSla fédération nécessite une configuration de parties dépendantes. La partie utilisatrice est AWS Security Token Service (AWS STS), qui sous-traite l'authentification en ADFS tant que fournisseur d'identité.

  1. Dans la console ADFS de gestion, utilisez le menu Action et sélectionnez Ajouter la confiance d'une partie fiable. Sélectionnez Claims aware lorsque vous ajoutez une partie de confiance.

  2. Pour les métadonnées de fédération, entrez l'URL des métadonnées figurant dans les informations de métadonnées du fournisseur d'identité sur la console IAM. Par exemple :

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Définissez le nom d'affichage de la partie utilisatrice (par exemple, AWS Account Access), puis choisissez Next.

  4. Sélectionnez les personnes auxquelles vous souhaitez autoriser l'accès AWS. Vous pouvez sélectionner des groupes spécifiques et définir des exigences telles que le MFA.

  5. Choisissez Fermer sur la page Terminer pour terminer l'assistant d'ajout de confiance à une partie fiable. AWS est désormais configuré en tant que partie utilisatrice.

Créez des règles de réclamation

ADFSutilise le langage des règles relatives aux réclamations pour émettre et transformer les réclamations entre les fournisseurs de réclamations et les parties utilisatrices. Vous devez créer quatre règles de réclamation :NameId,RoleSessionName, Get AD Groups et Roles for AWS Access.

Cliquez avec le bouton droit sur la partie utilisatrice, puis choisissez Modifier la politique d'émission des demandes. Choisissez Ajouter une règle pour ajouter des règles.

1NameId.

  1. Sélectionnez Transformer une réclamation entrante, puis cliquez sur Suivant.

  2. Utilisez les paramètres suivants :

    • Nom de la règle de réclamation : NameId

    • Type de réclamation entrante : Windows Account Name

    • Type de demande sortante : Name ID

    • Format du nom et de l'identifiant sortant : Persistent Identifier

    • Passez en revue toutes les valeurs des réclamations : coché

  3. Choisissez OK.

2. RoleSessionName

  1. Choisissez Add Rule (Ajouter une règle).

  2. Dans la liste des modèles de règles de réclamation, sélectionnez Envoyer les attributs LDAP sous forme de revendications.

  3. Utilisez les paramètres suivants :

    • Nom de la règle de réclamation : RoleSessionName

    • Boutique d'attributs : Active Directory

    • Attribut LDAP : E-Mail-Addresses

    • Type de réclamation sortante : https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Choisissez OK.

3. Obtenir des groupes AD

  1. Choisissez Add Rule (Ajouter une règle).

  2. Dans la liste des modèles de règles de réclamation, sélectionnez Envoyer les réclamations à l'aide d'une règle personnalisée, puis cliquez sur Suivant.

  3. Dans Nom de la règle de réclamationGet AD Groups, entrez, puis dans Règle personnalisée, entrez ce qui suit :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Cette règle personnalisée utilise un script dans le langage des règles de réclamation qui récupère tous les groupes dont l'utilisateur authentifié est membre et les place dans une réclamation temporaire nommée. http://temp/variable

    Note

    Assurez-vous qu'il n'y a pas d'espace blanc à la fin pour éviter des résultats inattendus.

4. Attributs du rôle

  1. Choisissez Add Rule (Ajouter une règle).

  2. Dans la liste des modèles de règles de réclamation, sélectionnez Envoyer les réclamations à l'aide d'une règle personnalisée, puis cliquez sur Suivant.

  3. Dans Nom de la règle de réclamationRoles, entrez, puis dans Règle personnalisée, entrez ce qui suit :

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Cette règle personnalisée utilise des expressions régulières pour transformer chacune des appartenances de groupe du formulaire AWS-<Account Number>-<Role Name> en ARN du rôle IAM et en formulaire ARN du fournisseur de fédération IAM attendu. AWS

    Note

    Dans l'exemple de langage de règles ci-dessus, ADFS représente le nom logique donné au fournisseur d'identité SAML dans la configuration du fournisseur AWS d'identité. Modifiez-le en fonction du nom logique que vous avez choisi dans la console IAM pour votre fournisseur d'identité.

Tester la configuration

Vérifiez que la solution fonctionne en vous authentifiant auprès https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx de. Sélectionnez le nom de la partie utilisatrice que vous avez créée dans la liste déroulante des sites.

Mettre à jour le point de terminaison d'assertion SAML par défaut dans ADFS

Important

Lors de la configuration de la confiance des parties ADFS dépendantes, le point de terminaison d'assertion SAML utilise par défaut celui https://signin.aws.amazon.com/ qui n'est pas un point de terminaison global et se trouve dans. us-east-1 Nous vous recommandons de remplacer le point de terminaison par défaut par un point de terminaison régional différent de celui où votre centre d'identité IAM est configuré pour la résilience. Par exemple, si votre centre d'identité IAM est déployé us-east-1 et que vous y opérez égalementus-west-2, remplacez le point de terminaison client par défaut de l'assertion SAML par. https://us-west-2.signin.aws.amazon.com/saml

  1. Choisissez Propriétés en fonction de la confiance de la partie fiable et accédez à l'onglet Surveillance. Décochez la case Mettre automatiquement à jour la partie utilisatrice.

  2. Accédez à l'onglet Points de terminaison, sélectionnez votre point de terminaison de connexion préféré, puis choisissez Modifier.

  3. Cochez la case Définir l'URL sécurisée par défaut. Cliquez sur OK et sur Appliquer pour que le réglage prenne effet.

Note

La plupart vous IdPs permettent de désactiver l'intégration d'une application jusqu'à ce que vous en ayez besoin. Nous vous recommandons de laisser l'application de fédération IAM directe désactivée dans votre IdP jusqu'à ce qu'elle soit requise pour un accès d'urgence.