Pengaturan satu kali aplikasi federasi IAM langsung dengan ADFS - AWS IAM Identity Center
PrasyaratRencanakan konvensi penamaan grup Active DirectoryAWS konfigurasiKonfigurasi Direktori AktifUji konfigurasiPerbarui titik akhir pernyataan SAMP default di ADFS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan satu kali aplikasi federasi IAM langsung dengan ADFS

Panduan ini menjelaskan proses penyiapan satu kali untuk mengonfigurasi federasi IAM langsung dengan mengaktifkan ADFS akses darurat Akun AWS ketika Pusat Identitas IAM tidak tersedia.

Prasyarat

Jika Anda berencana untuk mengonfigurasi ADFS dengan Microsoft AD yang AWS Dikelola, sebaiknya Anda mengonfigurasi replikasi Multi-Wilayah terlebih dahulu dan lanjutkan dengan langkah-langkah berikut di Wilayah tambahan dan bukan di Wilayah utama untuk ketahanan.

Rencanakan konvensi penamaan grup Active Directory

Buat grup AD menggunakan pola penamaan tertentu yang memungkinkan pencocokan otomatis antara nama grup dan peran AWS IAM.

Format penamaan grup: AWS-<AccountNumber>-<RoleName>

Untuk ilustrasi, lihat akun darurat pada diagram di bawahBagaimana merancang peran darurat, akun, dan pemetaan grup. Ketika pengguna ditugaskan ke grup ini, mereka diberikan akses ke EmergencyAccess_Role1_RO peran dalam akun123456789012. Jika pengguna dikaitkan dengan beberapa grup, mereka melihat daftar peran yang tersedia Akun AWS dan dapat memilih peran mana yang akan diambil.

AWS konfigurasi

Pengaturan lengkap mencakup konfigurasi dalam akun akses darurat dan akun beban kerja. Untuk ilustrasi pengaturan keseluruhan, lihatBagaimana merancang peran darurat, akun, dan pemetaan grup.

  1. Buat penyedia identitas SAMP

  2. Buat peran akses darurat

  3. Konfigurasikan peran akun beban kerja

Buat penyedia identitas SAMP

Di akun akses darurat, buat penyedia identitas SAMP di IAM dengan mengikuti langkah-langkah di Buat penyedia identitas SAMP di IAM. Unduh metadata yang diperlukan dari server AndaADFS:

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Buat peran akses darurat

Buat peran akses darurat di akun darurat menggunakan SAMP 2.0 Federation sebagai tipe entitas tepercaya. Pilih penyedia SAMP 2.0 yang Anda buat di langkah sebelumnya.

Pertimbangan:

  • Sertakan semua Wilayah tempat Anda beroperasi — pilih setiap Wilayah di mana Anda memiliki beban kerja aktif untuk memastikan federasi tetap tersedia selama gangguan Regional.

  • Konfigurasikan setidaknya satu titik akhir Regional tambahan, bahkan jika Anda beroperasi di satu Wilayah — misalnya, jika Anda hanya beroperasi dius-east-1, tambahkan us-west-2 sebagai titik akhir sekunder. Anda dapat gagal melewati IDP Anda ke titik akhir masuk us-west-2 SAMP dan tetap mengakses us-east-1 sumber daya Anda, bahkan tanpa beban kerja apa pun. us-west-2

  • Aktifkan titik akhir non-regional dan titik akhir regional — Meskipun titik akhir non-regional (https://signin.aws.amazon.com/saml) sangat tersedia, titik akhir () di-host dalam satu titik AWS Regionus-east-1, sementara titik akhir regional (https://<region>.signin.aws.amazon.com/saml) meningkatkan ketahanan dengan mengurangi ketergantungan pada satu titik akhir global.

Konfigurasikan kebijakan kepercayaan

Lihat Pengaturan satu kali aplikasi federasi IAM langsung di Okta contoh kebijakan kepercayaan dengan beberapa titik akhir regional masuk. Ganti titik akhir regional sampel dan penyedia SAMP ARNs dengan milik Anda.

Konfigurasikan kebijakan izin

Lihat Pengaturan satu kali aplikasi federasi IAM langsung di Okta contoh kebijakan izin yang Anda lampirkan ke peran akses darurat.

Konfigurasikan peran akun beban kerja

Untuk peran akun beban kerja, konfigurasikan kebijakan kepercayaan khusus yang memungkinkan peran akses darurat di akun akses darurat untuk mengasumsikan peran tersebut. Lihat Pengaturan satu kali aplikasi federasi IAM langsung di Okta contoh kebijakan kepercayaan, di mana akun 123456789012 adalah akun akses darurat.

Konfigurasi Direktori Aktif

Langkah-langkah berikut menjelaskan cara mengkonfigurasi Active Directory dan ADFS untuk akses darurat.

  1. Buat grup

  2. Buat pesta yang mengandalkan

  3. Buat aturan klaim

Buat grup

Buat grup darurat di Active Directory sesuai dengan konvensi penamaan yang dijelaskan sebelumnya (misalnya,AWS-123456789012-EmergencyAccess_Role1_RO). Tetapkan pengguna ke grup ini melalui mekanisme penyediaan yang ada.

Buat pesta yang mengandalkan

ADFSfederasi membutuhkan konfigurasi partai yang mengandalkan. Pihak yang mengandalkan adalah AWS Security Token Service (AWS STS), yang mengalihdayakan otentikasi ADFS sebagai penyedia identitas.

  1. Di konsol ADFS Manajemen, gunakan menu Tindakan dan pilih Tambahkan Kepercayaan Pihak yang Mengandalkan. Pilih Klaim sadar saat menambahkan pihak yang mengandalkan.

  2. Untuk metadata federasi, masukkan URL Metadata dari info metadata penyedia identitas di konsol IAM. Contoh:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Tetapkan nama tampilan untuk pihak yang mengandalkan (misalnya, Akses AWS Akun) dan kemudian pilih Berikutnya.

  4. Pilih siapa yang ingin Anda aktifkan untuk mengakses AWS. Anda dapat memilih grup tertentu dan menentukan persyaratan seperti MFA.

  5. Pilih Tutup pada halaman Selesai untuk menyelesaikan Add Relying Party Trust Wizard. AWS sekarang dikonfigurasi sebagai pihak yang mengandalkan.

Buat aturan klaim

ADFSmenggunakan Bahasa Aturan Klaim untuk menerbitkan dan mengubah klaim antara penyedia klaim dan pihak yang mengandalkan. Anda perlu membuat empat aturan klaim:NameId,RoleSessionName, Dapatkan Grup Iklan, dan Peran untuk AWS Akses.

Klik kanan pada pihak yang mengandalkan dan kemudian pilih Edit Kebijakan Penerbitan Klaim. Pilih Tambahkan Aturan untuk menambahkan aturan.

1. NameId

  1. Pilih Transform an Incoming Claim dan kemudian pilih Next.

  2. Gunakan pengaturan berikut:

    • Nama aturan klaim: NameId

    • Jenis klaim masuk: Windows Account Name

    • Jenis klaim keluar: Name ID

    • Format ID nama keluar: Persistent Identifier

    • Lewati semua nilai klaim: diperiksa

  3. Pilih OK.

2. RoleSessionName

  1. Pilih Tambahkan aturan.

  2. Dalam daftar templat aturan Klaim, pilih Kirim Atribut LDAP sebagai Klaim.

  3. Gunakan pengaturan berikut:

    • Nama aturan klaim: RoleSessionName

    • Toko atribut: Active Directory

    • Atribut LDAP: E-Mail-Addresses

    • Jenis Klaim Keluar: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Pilih OK.

3. Dapatkan Grup AD

  1. Pilih Tambahkan aturan.

  2. Dalam daftar templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu pilih Berikutnya.

  3. Untuk Nama Aturan Klaim, masukkanGet AD Groups, lalu di Aturan khusus, masukkan yang berikut ini:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Aturan kustom ini menggunakan skrip dalam bahasa aturan klaim yang mengambil semua grup yang menjadi anggota pengguna yang diautentikasi dan menempatkannya ke dalam klaim sementara bernama. http://temp/variable

    catatan

    Pastikan tidak ada spasi tambahan untuk menghindari hasil yang tidak terduga.

4. Atribut Peran

  1. Pilih Tambahkan aturan.

  2. Dalam daftar templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu pilih Berikutnya.

  3. Untuk Nama Aturan Klaim, masukkanRoles, lalu di Aturan khusus, masukkan yang berikut ini:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Aturan khusus ini menggunakan ekspresi reguler untuk mengubah setiap keanggotaan grup formulir AWS-<Account Number>-<Role Name> menjadi ARN peran IAM dan ARN penyedia federasi IAM formulir ARN yang diharapkan. AWS

    catatan

    Dalam contoh bahasa aturan di atas, ADFS mewakili nama logis yang diberikan kepada penyedia identitas SAMP dalam pengaturan penyedia AWS identitas. Ubah ini berdasarkan nama logis yang Anda pilih di konsol IAM untuk penyedia identitas Anda.

Uji konfigurasi

Uji apakah solusinya bekerja dengan mengautentikasi dihttps://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx. Pilih nama pihak yang mengandalkan yang Anda buat dari daftar dropdown situs.

Perbarui titik akhir pernyataan SAMP default di ADFS

penting

Saat mengonfigurasi kepercayaan pihak yang mengandalkanADFS, titik akhir Pernyataan SAMP default yang bukan https://signin.aws.amazon.com/ merupakan titik akhir global dan berada di. us-east-1 Kami menyarankan Anda mengubah titik akhir default ke titik akhir regional yang berbeda dari tempat Pusat Identitas IAM Anda dikonfigurasi untuk ketahanan. Misalnya, jika Pusat Identitas IAM Anda diterapkan us-east-1 dan Anda juga beroperasius-west-2, ubah titik akhir konsumen Pernyataan SAMP default menjadi. https://us-west-2.signin.aws.amazon.com/saml

  1. Pilih Properti pada kepercayaan pihak yang mengandalkan dan buka tab Pemantauan. Kosongkan kotak centang Secara Otomatis Perbarui pihak yang mengandalkan.

  2. Buka tab Endpoints, pilih titik akhir login pilihan Anda, dan pilih Edit.

  3. Pilih kotak centang Setel URL tepercaya sebagai default. Pilih OK dan Terapkan agar pengaturan diterapkan.

catatan

Sebagian besar IdPs memungkinkan Anda untuk menjaga integrasi aplikasi dinonaktifkan sampai diperlukan. Kami menyarankan agar Anda tetap menonaktifkan aplikasi federasi IAM langsung di IDP Anda hingga diperlukan untuk akses darurat.