View a markdown version of this page

Configuração única de um aplicativo de federação direta do IAM com ADFS - Centro de Identidade do AWS IAM
Pré-requisitosPlaneje sua convenção de nomenclatura de grupos do Active DirectoryAWS configuraçãoConfiguração do Active DirectoryTestar a configuraçãoAtualize o endpoint de asserção SAML padrão em ADFS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração única de um aplicativo de federação direta do IAM com ADFS

Este guia descreve o processo de configuração único para configurar a federação direta do IAM ADFS para permitir o acesso de emergência Contas da AWS quando o IAM Identity Center não estiver disponível.

Pré-requisitos

Se você planeja configurar ADFS com o Microsoft AD AWS gerenciado, recomendamos que primeiro configure a replicação multirregional e continue com as etapas a seguir na região adicional e não na região primária para fins de resiliência.

Planeje sua convenção de nomenclatura de grupos do Active Directory

Crie grupos do AD usando um padrão de nomenclatura específico que permite a correspondência automática entre nomes de grupos e funções AWS do IAM.

Formato de nomenclatura do grupo: AWS-<AccountNumber>-<RoleName>

Para ver uma ilustração, consulte a conta de emergência no diagrama em Como criar um mapeamento emergencial de funções, contas e grupos. Quando um usuário é atribuído a esse grupo, ele recebe acesso à EmergencyAccess_Role1_RO função na conta123456789012. Se um usuário estiver associado a vários grupos, ele verá uma lista das funções disponíveis Conta da AWS e poderá escolher qual função assumir.

AWS configuração

A configuração completa inclui configurações em uma conta de acesso de emergência e nas contas de carga de trabalho. Para obter uma ilustração da configuração geral, consulteComo criar um mapeamento emergencial de funções, contas e grupos.

  1. Crie um provedor de identidade SAML

  2. Crie funções de acesso de emergência

  3. Configurar funções da conta de carga de trabalho

Crie um provedor de identidade SAML

Na conta de acesso de emergência, crie um provedor de identidade SAML no IAM seguindo as etapas em Criar um provedor de identidade SAML no IAM. Baixe os metadados necessários do seu ADFS servidor:

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

Crie funções de acesso de emergência

Crie funções de acesso de emergência na conta de emergência usando o SAML 2.0 Federation como o tipo de entidade confiável. Selecione o provedor SAML 2.0 que você criou na etapa anterior.

Considerações:

  • Inclua todas as regiões em que você opera — selecione todas as regiões nas quais você tem cargas de trabalho ativas para garantir que a federação permaneça disponível durante uma interrupção regional.

  • Configure pelo menos um endpoint regional adicional, mesmo se você operar em uma única região — por exemplo, se você opera somente emus-east-1, adicione us-west-2 como endpoint secundário. Você pode transferir seu IdP para o endpoint de login do us-west-2 SAML e ainda acessar seus us-east-1 recursos, mesmo sem nenhuma carga de trabalho. us-west-2

  • Habilite o endpoint não regional e os endpoints regionais — Embora o endpoint não regional (https://signin.aws.amazon.com/saml) esteja altamente disponível, ele é hospedado em um único endpoint Região da AWSus-east-1, enquanto os endpoints regionais (https://<region>.signin.aws.amazon.com/saml) melhoram a resiliência reduzindo a dependência de um único endpoint global.

Configurar política de confiança

Consulte Configuração única de um aplicativo de federação direta do IAM no Okta para obter um exemplo de política de confiança com vários endpoints regionais de login. Substitua o exemplo de endpoints regionais e o provedor de SAML pelos seus ARNs .

Configurar políticas de permissões

Consulte Configuração única de um aplicativo de federação direta do IAM no Okta para obter um exemplo de política de permissões que você anexa às funções de acesso de emergência.

Configurar funções da conta de carga de trabalho

Para as funções da conta de carga de trabalho, configure uma política de confiança personalizada que permita que as funções de acesso de emergência na conta de acesso de emergência as assumam. Consulte Configuração única de um aplicativo de federação direta do IAM no Okta para obter um exemplo de política de confiança, em que a conta 123456789012 é a conta de acesso de emergência.

Configuração do Active Directory

As etapas a seguir descrevem como configurar o Active Directory e ADFS o acesso de emergência.

  1. Crie grupos

  2. Crie um grupo confiável

  3. Crie regras de reivindicação

Crie grupos

Crie grupos de emergência no Active Directory de acordo com a convenção de nomenclatura descrita anteriormente (por exemplo,AWS-123456789012-EmergencyAccess_Role1_RO). Atribua usuários a esses grupos por meio de seus mecanismos de provisionamento existentes.

Crie um grupo confiável

ADFSa federação requer uma configuração de parte confiável. A parte confiável é AWS Security Token Service (AWS STS), que terceiriza a autenticação ADFS como provedor de identidade.

  1. No console ADFS de gerenciamento, use o menu Ação e selecione Adicionar confiança de parte confiável. Selecione Reivindicações sensíveis ao adicionar uma parte confiável.

  2. Para metadados de federação, insira a URL de metadados das informações de metadados do provedor de identidade no console do IAM. Por exemplo:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. Defina o nome de exibição da parte confiável (por exemplo, Acesso àAWS conta) e escolha Avançar.

  4. Selecione quem você deseja permitir o acesso AWS. Você pode selecionar grupos específicos e definir requisitos como o MFA.

  5. Escolha Fechar na página Concluir para concluir o Assistente para Adicionar Parte Confiável. AWS agora está configurado como uma parte confiável.

Crie regras de reivindicação

ADFSusa a linguagem de regras de reivindicações para emitir e transformar reivindicações entre fornecedores de sinistros e partes confiáveis. Você precisa criar quatro regras de reivindicação:NameId,RoleSessionName, Obter grupos do AD e Funções para AWS acesso.

Clique com o botão direito do mouse na parte confiável e escolha Editar política de emissão de reivindicações. Escolha Adicionar regra para adicionar regras.

1NameId.

  1. Selecione Transformar uma reclamação recebida e escolha Avançar.

  2. Use as seguintes configurações:

    • Nome da regra de reivindicação: NameId

    • Tipo de reclamação recebida: Windows Account Name

    • Tipo de reclamação de saída: Name ID

    • Formato de ID de nome de saída: Persistent Identifier

    • Passe por todos os valores da reclamação: verificado

  3. Escolha OK.

2. RoleSessionName

  1. Escolha Add Rule.

  2. Na lista de modelos de regras de declaração, selecione Enviar atributos LDAP como declarações.

  3. Use as seguintes configurações:

    • Nome da regra de reivindicação: RoleSessionName

    • Armazenamento de atributos: Active Directory

    • Atributo LDAP: E-Mail-Addresses

    • Tipo de reclamação de saída: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. Escolha OK.

3. Obtenha grupos do AD

  1. Escolha Add Rule.

  2. Na lista de modelos de regras de reivindicação, selecione Enviar reivindicações usando uma regra personalizada e escolha Avançar.

  3. Em Nome da regra de reivindicaçãoGet AD Groups, insira e, em Regra personalizada, insira o seguinte:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    Essa regra personalizada usa um script na linguagem da regra de declaração que recupera todos os grupos dos quais o usuário autenticado é membro e os coloca em uma declaração temporária chamada. http://temp/variable

    nota

    Certifique-se de que não haja espaços em branco no final para evitar resultados inesperados.

4. Atributos da função

  1. Escolha Add Rule.

  2. Na lista de modelos de regras de reivindicação, selecione Enviar reivindicações usando uma regra personalizada e escolha Avançar.

  3. Em Nome da regra de reivindicaçãoRoles, insira e, em Regra personalizada, insira o seguinte:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    Essa regra personalizada usa expressões regulares para transformar cada uma das associações de grupo do formulário na função do IAM ARN e AWS-<Account Number>-<Role Name> no formulário ARN do provedor de federação do IAM que espera. AWS

    nota

    No exemplo de linguagem de regras acima, ADFS representa o nome lógico dado ao provedor de identidade SAML na configuração do provedor de AWS identidade. Altere isso com base no nome lógico que você escolheu no console do IAM para seu provedor de identidade.

Testar a configuração

Teste se a solução funciona autenticando emhttps://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx. Selecione o nome da parte confiável que você criou na lista suspensa dos sites.

Atualize o endpoint de asserção SAML padrão em ADFS

Importante

Ao configurar a confiança de uma parte confiávelADFS, o endpoint SAML Assertion assume como padrão o https://signin.aws.amazon.com/ qual não é um endpoint global e está localizado em. us-east-1 Recomendamos que você modifique o endpoint padrão para um endpoint regional diferente de onde seu IAM Identity Center está configurado para resiliência. Por exemplo, se seu IAM Identity Center estiver implantado us-east-1 e você também operar nous-west-2, altere o endpoint de consumidor padrão do SAML Assertion para. https://us-west-2.signin.aws.amazon.com/saml

  1. Escolha Propriedades na confiança da parte confiável e vá para a guia Monitoramento. Desmarque a caixa de seleção Atualizar automaticamente parte confiável.

  2. Vá até a guia Endpoints, selecione seu endpoint de login preferido e escolha Editar.

  3. Marque a caixa de seleção Definir o URL confiável como padrão. Escolha OK e Aplicar para que a configuração tenha efeito.

nota

A maioria IdPs permite que você mantenha a integração de aplicativos desativada até que seja necessária. Recomendamos que você mantenha o aplicativo de federação direta do IAM desativado em seu IdP até que seja necessário para acesso de emergência.