AD FS-Anspruchsregel und SAML-Einstellungen - AMS-Benutzerhandbuch für Fortgeschrittene
Konfigurationen von ADFS-AnspruchsregelnWeb-KonsoleAPI- und CLI-Zugriff mit SAML

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AD FS-Anspruchsregel und SAML-Einstellungen

ActiveDirectory Federation Services (AD FS) -Anspruchsregel und SAML-Einstellungen für AWS Managed Services (AMS)

Ausführliche step-by-step Anweisungen zur Installation und Konfiguration von AD FS finden Sie unter Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0.

Konfigurationen von ADFS-Anspruchsregeln

Wenn Sie bereits über eine ADFS-Implementierung verfügen, konfigurieren Sie Folgendes:

  • Vertrauen der Parteien

  • Regeln für Ansprüche

Die Schritte zur Vertrauens- und Anspruchsregeln der vertrauenden Partei werden vom Blog Enabling Federation bis AWS Using Windows Active Directory, AD FS und SAML 2.0 durchgeführt

  • Regeln für Ansprüche:

    • Nameid: Konfiguration pro Blogbeitrag

    • RoleSessionName: Konfigurieren Sie wie folgt

      • Name der Regel beanspruchen: RoleSessionName

      • Attributspeicher: Active Directory

      • LDAP-Attribut: SAM-Account-Name

      • Art des ausgehenden Anspruchs: https://aws.amazon.com/SAML/Attributes/RoleSessionName

      • AD-Gruppen abrufen: Konfiguration pro Blogbeitrag

      • Rollenanspruch: Konfigurieren Sie wie folgt

        
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]

        
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Web-Konsole

Sie können auf die AWS-Webkonsole zugreifen, indem Sie den Link unten verwenden und ihn [ADFS-FQDN] durch den FQDN Ihrer ADFS-Implementierung ersetzen.

https:///[ADFS-FQDN].aspx adfs/ls/IdpInitiatedSignOn

Ihre IT-Abteilung kann den oben genannten Link über eine Gruppenrichtlinie für die Benutzerpopulation bereitstellen.

API- und CLI-Zugriff mit SAML

So konfigurieren Sie den API- und CLI-Zugriff mit SAML.

Die Python-Pakete stammen aus den folgenden Blogbeiträgen:

Skript-Konfiguration

  1. Ändern Sie mit Notepad++ die Standardregion in die richtige Region

  2. Deaktivieren Sie mit Notepad++ die SSL-Verifizierung für Test- und Entwicklungsumgebungen

  3. Konfigurieren Sie mit Notepad++ idpentryurl

    https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices

Windows-Konfiguration

Die folgenden Anweisungen gelten für die Python-Pakete. Die generierten Anmeldeinformationen sind 1 Stunde gültig.

  1. Downloaden und installieren Sie Python (2.7.11)

  2. Laden Sie die AWS-CLI-Tools herunter und installieren Sie sie

  3. Installieren Sie die AMS-CLI:

    1. Laden Sie die ZIP-Datei für AMS-Distributionsdateien herunter, die Sie von Ihrem Cloud Service Delivery Manager (CSDM) erhalten haben, und entpacken Sie sie.

      Es werden mehrere Verzeichnisse und Dateien zur Verfügung gestellt.

    2. Öffnen Sie je nach Betriebssystem entweder das Verzeichnis Managed Cloud Distributables -> CLI -> Windows oder das Verzeichnis Managed Cloud Distributables -> CLI -> Linux/macOS und:

      Führen Sie für Windows das entsprechende Installationsprogramm aus (diese Methode funktioniert nur auf Windows 32- oder 64-Bit-Systemen):

      • 32 Bit: ManagedCloud API_x86.msi

      • 64 Bit: ManagedCloud API_x64.msi

      Führen Sie für Mac/Linux die Datei mit dem Namen MC_CLI.sh aus. Sie können dies tun, indem Sie diesen Befehl ausführen:. sh MC_CLI.sh Beachten Sie, dass sich die Verzeichnisse amscm und amsskms sowie ihr Inhalt im selben Verzeichnis wie die Datei MC_CLI.sh befinden müssen.

    3. Wenn Ihre Unternehmensanmeldedaten über den Verbund mit AWS (die AMS-Standardkonfiguration) verwendet werden, müssen Sie ein Tool zur Verwaltung von Anmeldeinformationen installieren, das auf Ihren Verbundservice zugreifen kann. Sie können beispielsweise diesen AWS-Sicherheitsblog How to Implementation Federated API and CLI Access Using SAML 2.0 and AD FS verwenden, um Hilfe bei der Konfiguration Ihrer Tools zur Verwaltung Ihrer Anmeldeinformationen zu erhalten.

    4. Führen Sie nach der Installation die Befehle und Optionen aus aws amscm help und sehen Sie aws amsskms help sich diese an.

  4. Laden Sie das erforderliche SAML-Skript herunter

    Laden Sie es auf c:\aws\scripts herunter

  5. Laden Sie PIP herunter

    Laden Sie es auf c:\aws\downloads herunter

  6. Verwenden PowerShell und installieren Sie PIP

    <pythondir>. \ python.exe c:\aws\downloads\get -pip.py

  7. Verwenden PowerShell und installieren Sie das Boto-Modul

    <pythondir\ scripts>Verwenden, installieren Sie das Boto-Modul ----sep----pip install boto

  8. Verwenden Sie das Modul PowerShell Anfragen und installieren Sie es

    <pythondir\ scripts>Verwenden des Moduls für Anfragen installieren ----sep----pip install requests

  9. Verwenden PowerShell und installieren Sie das Sicherheitsmodul Anfragen

    <pythondir\ scripts>Verwenden des Sicherheitsmoduls install requests ----sep----pip install requests [security]

  10. Verwenden PowerShell und installieren Sie das BeautifulSoup-Modul

    <pythondir\ scripts>Verwenden Sie das Modul beautifulsoup ----sep----pip install beautifulsoup4

  11. Erstellen Sie mit Hilfe PowerShell eines Ordners namens .aws im Benutzerprofil (%userprofile%\ .aws)

    mkdir .aws

  12. Erstellen Sie mit PowerShell, eine Datei mit Anmeldeinformationen im Ordner „.aws“

    Anmeldeinformationen für ein neues Objekt — Typ Datei —Force

    Die Anmeldeinformationsdatei darf keine Dateierweiterung haben

    Der Dateiname muss ausschließlich in Kleinbuchstaben geschrieben sein und die Anmeldeinformationen enthalten

  13. Öffnen Sie die Anmeldeinformationsdatei mit Notepad und fügen Sie die folgenden Daten ein, wobei Sie die richtige Region angeben

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  14. Verwenden PowerShell des SAML-Skripts und der Anmeldung

    <pythondir>. \ python.exe c:\aws\scripts\samlapi.py

    Benutzername: [BENUTZERNAME] @upn

    Wählen Sie die Rolle, die Sie übernehmen möchten

Linux-Konfiguration

Die generierten Anmeldeinformationen sind 1 Stunde gültig.

  1. Übertragen Sie das SAML-Skript mithilfe von WinSCP

  2. Übertragen Sie das Root-CA-Zertifikat mit WinSCP (ignorieren Sie es für Test und Entwicklung)

  3. Fügen Sie die ROOT-CA zu den vertrauenswürdigen Root-Zertifikaten hinzu (ignorieren Sie sie für Test und Entwicklung)

    $ openssl x509 -inform der -in [certname] .cer -out certificate.pem (für Test und Entwicklung ignorieren)

    Fügt den Inhalt von certificate.pem am Ende der Datei/-bundle.crt hinzu (bei Test-Entwicklung ignorieren) etc/ssl/certs/ca

  4. Erstellen Sie den Ordner.aws unter home/ec2-user 5

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  5. Übertragen Sie die Anmeldeinformationsdatei mithilfe von WinSCP in den Ordner.aws

  6. Installieren Sie das Boto-Modul

    $ sudo pip installiere Boto

  7. Installieren Sie das Modul Anfragen

    $ sudo pip Installationsanfragen

  8. Installieren Sie das BeautifulSoup-Modul

    $ sudo pip installiere beautifulsoup4

  9. Kopieren Sie das Skript nach home/ec2-user

    Stellen Sie die erforderlichen Berechtigungen ein

    Führen Sie das Skript aus: samlapi.py