As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configuração única de um aplicativo de federação direta do IAM com ADFS
Este guia descreve o processo de configuração único para configurar a federação direta do IAM ADFS para permitir o acesso de emergência Contas da AWS quando o IAM Identity Center não estiver disponível.
## Pré-requisitos
Se você planeja configurar ADFS com o Microsoft AD AWS gerenciado, recomendamos que primeiro [configure a replicação multirregional](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) e continue com as etapas a seguir na região adicional e não na região primária para fins de resiliência.
## Planeje sua convenção de nomenclatura de grupos do Active Directory
Crie grupos do AD usando um padrão de nomenclatura específico que permite a correspondência automática entre nomes de grupos e funções AWS do IAM.
**Formato de nomenclatura do grupo**: `AWS--`
Para ver uma ilustração, consulte a conta de emergência no diagrama em [Como criar um mapeamento emergencial de funções, contas e grupos](emergency-access-mapping-design.md). Quando um usuário é atribuído a esse grupo, ele recebe acesso à `EmergencyAccess_Role1_RO` função na conta`123456789012`. Se um usuário estiver associado a vários grupos, ele verá uma lista das funções disponíveis Conta da AWS e poderá escolher qual função assumir.
## AWS configuração
A configuração completa inclui configurações em uma conta de acesso de emergência e nas contas de carga de trabalho. Para obter uma ilustração da configuração geral, consulte[Como criar um mapeamento emergencial de funções, contas e grupos](emergency-access-mapping-design.md).
1. [Crie um provedor de identidade SAML](#emergency-access-adfs-create-saml-provider)
1. [Crie funções de acesso de emergência](#emergency-access-adfs-create-roles)
1. [Configurar funções da conta de carga de trabalho](#emergency-access-adfs-configure-workload-accounts)
### Crie um provedor de identidade SAML
Na conta de acesso de emergência, crie um provedor de identidade SAML no IAM seguindo as etapas em [Criar um provedor de identidade SAML no](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) IAM. Baixe os metadados necessários do seu ADFS servidor:
`https:///FederationMetadata/2007-06/FederationMetadata.xml`
### Crie funções de acesso de emergência
[Crie funções de acesso de emergência](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) na conta de emergência usando o SAML 2.0 Federation como o tipo de entidade confiável. Selecione o provedor SAML 2.0 que você criou na etapa anterior.
**Considerações:**
+ **Inclua todas as regiões em que você opera** — selecione todas as regiões nas quais você tem cargas de trabalho ativas para garantir que a federação permaneça disponível durante uma interrupção regional.
+ **Configure pelo menos um endpoint regional adicional, mesmo se você operar em uma única região** — por exemplo, se você opera somente em`us-east-1`, adicione `us-west-2` como endpoint secundário. Você pode transferir seu IdP para o endpoint de login do `us-west-2` SAML e ainda acessar seus `us-east-1` recursos, mesmo sem nenhuma carga de trabalho. `us-west-2`
+ **Habilite o endpoint não regional e os endpoints regionais** — Embora o endpoint não regional (`https://signin.aws.amazon.com/saml`) esteja altamente disponível, ele é hospedado em um único endpoint Região da AWS`us-east-1`, enquanto os endpoints regionais (`https://.signin.aws.amazon.com/saml`) melhoram a resiliência reduzindo a dependência de um único endpoint global.
**Configurar política de confiança**
Consulte [Configuração única de um aplicativo de federação direta do IAM no Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) para obter um exemplo de política de confiança com vários endpoints regionais de login. Substitua o exemplo de endpoints regionais e o provedor de SAML pelos seus ARNs .
**Configurar políticas de permissões**
Consulte [Configuração única de um aplicativo de federação direta do IAM no Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) para obter um exemplo de política de permissões que você anexa às funções de acesso de emergência.
### Configurar funções da conta de carga de trabalho
Para as funções da conta de carga de trabalho, configure uma política de confiança personalizada que permita que as funções de acesso de emergência na conta de acesso de emergência as assumam. Consulte [Configuração única de um aplicativo de federação direta do IAM no Okta](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) para obter um exemplo de política de confiança, em que a conta `123456789012` é a conta de acesso de emergência.
## Configuração do Active Directory
As etapas a seguir descrevem como configurar o Active Directory e ADFS o acesso de emergência.
1. [Crie grupos](#emergency-access-adfs-create-groups)
1. [Crie um grupo confiável](#emergency-access-adfs-create-relying-party)
1. [Crie regras de reivindicação](#emergency-access-adfs-create-claim-rules)
### Crie grupos
Crie grupos de emergência no Active Directory de acordo com a convenção de nomenclatura descrita anteriormente (por exemplo,`AWS-123456789012-EmergencyAccess_Role1_RO`). Atribua usuários a esses grupos por meio de seus mecanismos de provisionamento existentes.
### Crie um grupo confiável
ADFSa federação requer uma configuração de parte confiável. A parte confiável é AWS Security Token Service (AWS STS), que terceiriza a autenticação ADFS como provedor de identidade.
1. No console ADFS de gerenciamento, use o menu Ação e selecione **Adicionar confiança de parte confiável**. Selecione **Reivindicações sensíveis** ao adicionar uma parte confiável.
1. Para metadados de federação, insira a URL de metadados das informações de metadados do provedor de identidade no console do IAM. Por exemplo:
`https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml`
1. Defina o nome de exibição da parte confiável (por exemplo, **Acesso àAWS conta**) e escolha **Avançar**.
1. Selecione quem você deseja permitir o acesso AWS. Você pode selecionar grupos específicos e definir requisitos como o MFA.
1. Escolha **Fechar** na página Concluir para concluir o Assistente para Adicionar Parte Confiável. AWS agora está configurado como uma parte confiável.
### Crie regras de reivindicação
ADFSusa a linguagem de regras de reivindicações para emitir e transformar reivindicações entre fornecedores de sinistros e partes confiáveis. Você precisa criar quatro regras de reivindicação:NameId,RoleSessionName, Obter grupos do AD e Funções para AWS acesso.
Clique com o botão direito do mouse na parte confiável e escolha **Editar política de emissão de reivindicações**. Escolha **Adicionar regra** para adicionar regras.
**1NameId**.
1. Selecione **Transformar uma reclamação recebida** e escolha **Avançar**.
1. Use as seguintes configurações:
+ Nome da regra de reivindicação: `NameId`
+ Tipo de reclamação recebida: `Windows Account Name`
+ Tipo de reclamação de saída: `Name ID`
+ Formato de ID de nome de saída: `Persistent Identifier`
+ Passe por todos os valores da reclamação: verificado
1. Escolha **OK**.
**2. RoleSessionName**
1. Escolha **Add Rule**.
1. Na lista de modelos de regras de declaração, selecione **Enviar atributos LDAP como declarações**.
1. Use as seguintes configurações:
+ Nome da regra de reivindicação: `RoleSessionName`
+ Armazenamento de atributos: `Active Directory`
+ Atributo LDAP: `E-Mail-Addresses`
+ Tipo de reclamação de saída: `https://aws.amazon.com/SAML/Attributes/RoleSessionName`
1. Escolha **OK**.
**3. Obtenha grupos do AD**
1. Escolha **Add Rule**.
1. Na lista de modelos de regras de reivindicação, selecione **Enviar reivindicações usando uma regra personalizada** e escolha **Avançar**.
1. Em Nome da regra de reivindicação`Get AD Groups`, insira e, em Regra personalizada, insira o seguinte:
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
```
Essa regra personalizada usa um script na linguagem da regra de declaração que recupera todos os grupos dos quais o usuário autenticado é membro e os coloca em uma declaração temporária chamada. `http://temp/variable`
**nota**
Certifique-se de que não haja espaços em branco no final para evitar resultados inesperados.
**4. Atributos da função**
1. Escolha **Add Rule**.
1. Na lista de modelos de regras de reivindicação, selecione **Enviar reivindicações usando uma regra personalizada** e escolha **Avançar**.
1. Em Nome da regra de reivindicação`Roles`, insira e, em Regra personalizada, insira o seguinte:
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/,arn:aws:iam::$1:role/"));
```
Essa regra personalizada usa expressões regulares para transformar cada uma das associações de grupo do formulário na função do IAM ARN e `AWS--` no formulário ARN do provedor de federação do IAM que espera. AWS
**nota**
No exemplo de linguagem de regras acima, `ADFS` representa o nome lógico dado ao provedor de identidade SAML na configuração do provedor de AWS identidade. Altere isso com base no nome lógico que você escolheu no console do IAM para seu provedor de identidade.
## Testar a configuração
Teste se a solução funciona autenticando em`https:///adfs/ls/IdpInitiatedSignOn.aspx`. Selecione o nome da parte confiável que você criou na lista suspensa dos sites.
## Atualize o endpoint de asserção SAML padrão em ADFS
**Importante**
Ao configurar a confiança de uma parte confiávelADFS, o endpoint SAML Assertion assume como padrão o `https://signin.aws.amazon.com/` qual não é um endpoint global e está localizado em. `us-east-1` Recomendamos que você modifique o endpoint padrão para um endpoint regional diferente de onde seu IAM Identity Center está configurado para resiliência. Por exemplo, se seu IAM Identity Center estiver implantado `us-east-1` e você também operar no`us-west-2`, altere o endpoint de consumidor padrão do SAML Assertion para. `https://us-west-2.signin.aws.amazon.com/saml`
1. Escolha **Propriedades** na confiança da parte confiável e vá para a guia **Monitoramento**. Desmarque a caixa de seleção **Atualizar automaticamente parte confiável.**
1. **Vá até a guia **Endpoints**, selecione seu endpoint de login preferido e escolha Editar.**
1. Marque a caixa de seleção **Definir o URL confiável como padrão**. Escolha **OK** e **Aplicar** para que a configuração tenha efeito.
**nota**
A maioria IdPs permite que você mantenha a integração de aplicativos desativada até que seja necessária. Recomendamos que você mantenha o aplicativo de federação direta do IAM desativado em seu IdP até que seja necessário para acesso de emergência.