View a markdown version of this page

Configurazione una tantum di un'applicazione federativa IAM diretta con ADFS - AWS IAM Identity Center
PrerequisitiPianifica la convenzione di denominazione dei gruppi di Active DirectoryAWS configurazioneConfigurazione di Active DirectoryTest della configurazioneAggiorna l'endpoint di asserzione SAML predefinito in ADFS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione una tantum di un'applicazione federativa IAM diretta con ADFS

Questa guida descrive il processo di configurazione, una tantum, per configurare la federazione diretta IAM con lo scopo di ADFS abilitare l'accesso di emergenza Account AWS quando IAM Identity Center non è disponibile.

Prerequisiti

Se prevedi di eseguire la configurazione ADFS con AWS Managed Microsoft AD, ti consigliamo di configurare prima la replica multiregione e di continuare con i passaggi seguenti nella regione aggiuntiva e non nella regione principale per la resilienza.

Pianifica la convenzione di denominazione dei gruppi di Active Directory

Crea gruppi AD utilizzando uno schema di denominazione specifico che consente la corrispondenza automatica tra i nomi dei gruppi e i ruoli AWS IAM.

Formato di denominazione dei gruppi: AWS-<AccountNumber>-<RoleName>

Per un'illustrazione, vedi l'account di emergenza nel diagramma seguente. Come progettare una mappatura di emergenza di ruoli, account e gruppi Quando un utente viene assegnato a questo gruppo, gli viene concesso l'accesso al EmergencyAccess_Role1_RO ruolo nell'account. 123456789012 Se un utente è associato a più gruppi, visualizza un elenco di ruoli disponibili Account AWS e può scegliere quale ruolo assumere.

AWS configurazione

La configurazione completa include le configurazioni in un account di accesso di emergenza e negli account del carico di lavoro. Per un'illustrazione della configurazione generale, vedere. Come progettare una mappatura di emergenza di ruoli, account e gruppi

  1. Creare un provider di identità SAML

  2. Crea ruoli di accesso di emergenza

  3. Configura i ruoli degli account del carico di lavoro

Creare un provider di identità SAML

Nell'account di accesso di emergenza, crea un provider di identità SAML in IAM seguendo i passaggi in Creare un provider di identità SAML in IAM. Scarica i metadati richiesti dal tuo server: ADFS

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Crea ruoli di accesso di emergenza

Crea ruoli di accesso di emergenza nell'account di emergenza utilizzando SAML 2.0 Federation come tipo di entità affidabile. Seleziona il provider SAML 2.0 che hai creato nel passaggio precedente.

Considerazioni:

  • Includi tutte le regioni in cui operi: seleziona ogni regione in cui hai carichi di lavoro attivi per garantire che la federazione rimanga disponibile durante un'interruzione regionale.

  • Configura almeno un endpoint regionale aggiuntivo, anche se operi in una singola regione: ad esempio, se operi solo inus-east-1, aggiungilo us-west-2 come endpoint secondario. Puoi eseguire il failover del tuo IdP sull'endpoint di accesso us-west-2 SAML e continuare ad accedere alle tue us-east-1 risorse, anche senza carichi di lavoro. us-west-2

  • Abilita sia l'endpoint non regionale che gli endpoint regionali: sebbene l'endpoint non regionale (https://signin.aws.amazon.com/saml) sia altamente disponibile, è ospitato in un unico Regione AWSus-east-1, mentre gli endpoint regionali (https://<region>.signin.aws.amazon.com/saml) migliorano la resilienza riducendo la dipendenza da un singolo endpoint globale.

Configura la politica di fiducia

Configurazione una tantum di un'applicazione federativa IAM diretta in OktaPer un esempio, consulta la politica di fiducia con più endpoint regionali di accesso. Sostituisci gli endpoint regionali e il provider SAML di esempio con i tuoi. ARNs

Configura le politiche di autorizzazione

Configurazione una tantum di un'applicazione federativa IAM diretta in OktaPer un esempio, fai riferimento alla politica di autorizzazione che alleghi ai ruoli di accesso di emergenza.

Configura i ruoli degli account del carico di lavoro

Per i ruoli degli account di carico di lavoro, configura una politica di attendibilità personalizzata che consenta ai ruoli di accesso di emergenza nell'account di accesso di emergenza di assumerli. Configurazione una tantum di un'applicazione federativa IAM diretta in OktaPer un esempio, consulta la policy di fiducia, dove account 123456789012 è l'account per l'accesso di emergenza.

Configurazione di Active Directory

I passaggi seguenti descrivono come configurare Active Directory e ADFS per l'accesso di emergenza.

  1. Creare gruppi

  2. Crea un relying party

  3. Crea regole per i reclami

Creare gruppi

Crea gruppi di emergenza in Active Directory secondo la convenzione di denominazione descritta in precedenza (ad esempio,AWS-123456789012-EmergencyAccess_Role1_RO). Assegna gli utenti a questi gruppi tramite i meccanismi di provisioning esistenti.

Crea un relying party

ADFSla federazione richiede una configurazione di relying party. Il relying party è AWS Security Token Service (AWS STS), che esternalizza l'autenticazione ADFS come provider di identità.

  1. Nella console di ADFS gestione, utilizza il menu Azione e seleziona Aggiungi Relying Party Trust. Seleziona Claims aware quando aggiungi un relying party.

  2. Per i metadati di federazione, inserisci l'URL dei metadati dalle informazioni sui metadati del provider di identità sulla console IAM. Esempio:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Imposta il nome visualizzato per il relying party (ad esempio, AWS Account Access), quindi scegli Avanti.

  4. Seleziona a chi vuoi consentire l'accesso AWS. Puoi selezionare gruppi specifici e definire requisiti come la MFA.

  5. Scegli Chiudi nella pagina Fine per completare la procedura guidata Add Relying Party Trust. AWS è ora configurato come relying party.

Crea regole per i reclami

ADFSutilizza Claims Rule Language per emettere e trasformare i reclami tra i fornitori di reclami e le parti affidatarie. Devi creare quattro regole di reclamo:NameId,RoleSessionName, Get AD Groups e Roles for AWS Access.

Fai clic con il pulsante destro del mouse sulla parte affidante, quindi scegli Modifica politica di emissione dei reclami. Scegli Aggiungi regola per aggiungere regole.

1NameId.

  1. Seleziona Trasforma un reclamo in entrata, quindi scegli Avanti.

  2. Utilizzare le seguenti impostazioni:

    • Nome della regola di richiesta: NameId

    • Tipo di reclamo in entrata: Windows Account Name

    • Tipo di reclamo in uscita: Name ID

    • Formato identificativo del nome in uscita: Persistent Identifier

    • Esamina tutti i valori del reclamo: selezionato

  3. Scegli OK.

2. RoleSessionName

  1. Selezionare Add Rule (Aggiungi regola).

  2. Nell'elenco dei modelli di regole di reclamo, seleziona Invia attributi LDAP come attestazioni.

  3. Utilizzare le seguenti impostazioni:

    • Nome della regola di rivendicazione: RoleSessionName

    • Archivio attributi: Active Directory

    • Attributo LDAP: E-Mail-Addresses

    • Tipo di reclamo in uscita: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Scegli OK.

3. Ottieni gruppi AD

  1. Selezionare Add Rule (Aggiungi regola).

  2. Nell'elenco dei modelli di regole di reclamo, seleziona Invia reclami utilizzando una regola personalizzata, quindi scegli Avanti.

  3. Per il nome della regola di reclamoGet AD Groups, inserisci, quindi in Regola personalizzata, inserisci quanto segue:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Questa regola personalizzata utilizza uno script nel linguaggio delle regole di attestazione che recupera tutti i gruppi di cui l'utente autenticato è membro e li inserisce in un'attestazione temporanea denominata. http://temp/variable

    Nota

    Assicurati che non vi siano spazi bianchi finali per evitare risultati imprevisti.

4. Attributi del ruolo

  1. Selezionare Add Rule (Aggiungi regola).

  2. Nell'elenco dei modelli di regole di reclamo, seleziona Invia reclami utilizzando una regola personalizzata, quindi scegli Avanti.

  3. Per il nome della regola di reclamoRoles, inserisci, quindi in Regola personalizzata, inserisci quanto segue:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Questa regola personalizzata utilizza espressioni regolari per trasformare ogni appartenenza al gruppo del modulo AWS-<Account Number>-<Role Name> nel modulo ARN del ruolo IAM e nel modulo ARN del provider federativo IAM previsto. AWS

    Nota

    Nel linguaggio delle regole di esempio riportato sopra, ADFS rappresenta il nome logico assegnato al provider di identità SAML nella configurazione del provider di identità. AWS Modificalo in base al nome logico che hai scelto nella console IAM per il tuo provider di identità.

Test della configurazione

Verifica che la soluzione funzioni autenticandoti su. https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx Seleziona il nome del relying party che hai creato dall'elenco a discesa dei siti.

Aggiorna l'endpoint di asserzione SAML predefinito in ADFS

Importante

Quando si configura il relying party trust inADFS, per impostazione predefinita viene utilizzato l'endpoint SAML Assertion, https://signin.aws.amazon.com/ che non è un endpoint globale e si trova in. us-east-1 Ti consigliamo di modificare l'endpoint predefinito con un endpoint regionale diverso da quello in cui il tuo IAM Identity Center è configurato per la resilienza. Ad esempio, se il tuo IAM Identity Center è distribuito in us-east-1 e anche tu operi inus-west-2, modifica l'endpoint consumer SAML Assertion predefinito in. https://us-west-2.signin.aws.amazon.com/saml

  1. Scegli Proprietà sul relying party trust e vai alla scheda Monitoraggio. Deseleziona la casella di controllo Aggiorna automaticamente il relying party.

  2. Vai alla scheda Endpoints, seleziona l'endpoint di accesso preferito e scegli Modifica.

  3. Seleziona la casella di controllo Imposta l'URL affidabile come predefinito. Scegli OK e Applica per rendere effettiva l'impostazione.

Nota

La maggior parte IdPs consente di mantenere l'integrazione di un'applicazione disattivata fino a quando necessario. Ti consigliamo di mantenere disattivata l'applicazione di federazione IAM diretta nel tuo IdP fino a quando non viene richiesta per l'accesso di emergenza.