Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AD FS-Anspruchsregel und SAML-Einstellungen
<a name="adfs-claim-rule-saml"></a>

ActiveDirectory Federation Services (AD FS) -Anspruchsregel und SAML-Einstellungen für AWS Managed Services (AMS)

Ausführliche step-by-step Anweisungen zur Installation und Konfiguration von AD FS finden Sie unter [Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/). 

## Konfigurationen von ADFS-Anspruchsregeln
<a name="cust-have-adfs"></a>

Wenn Sie bereits über eine ADFS-Implementierung verfügen, konfigurieren Sie Folgendes:
+ Vertrauen der Parteien
+ Regeln für Ansprüche 

Die Schritte zur Vertrauens- und Anspruchsregeln der vertrauenden Partei werden vom [Blog Enabling Federation bis AWS Using Windows Active Directory, AD FS und SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) durchgeführt
+ Regeln für Ansprüche:
  + **Nameid**: Konfiguration pro Blogbeitrag
  + **RoleSessionName**: Konfigurieren Sie wie folgt
    + **Name der Inanspruchnahme der Regel**: **RoleSessionName**
    + **Attributspeicher**: **Active Directory**
    + **LDAP-Attribut**: **SAM-Account-Name**
    + **Art des ausgehenden Anspruchs:** **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
    + **AD-Gruppen abrufen**: Konfiguration pro [Blogbeitrag](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
    + **Rollenanspruch**: Konfigurieren Sie wie folgt

      ```
      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
      ```

      ```
      => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));    
      ```

## Web-Konsole
<a name="adfs-web-console"></a>

Sie können auf die AWS-Webkonsole zugreifen, indem Sie den Link unten verwenden und ihn *[ADFS-FQDN]* durch den FQDN Ihrer ADFS-Implementierung ersetzen.

https:///*[ADFS-FQDN]*.aspx adfs/ls/IdpInitiatedSignOn

Ihre IT-Abteilung kann den oben genannten Link über eine Gruppenrichtlinie für die Benutzerpopulation bereitstellen.

## API- und CLI-Zugriff mit SAML
<a name="api-cli-web-access"></a>

So konfigurieren Sie den API- und CLI-Zugriff mit SAML.

Die Python-Pakete stammen aus den folgenden Blogbeiträgen:
+ NTLM: [So implementieren Sie föderierten API- und CLI-Zugriff mit SAML](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) 2.0 und AD FS
+ Formulare: [So implementieren Sie eine allgemeine Lösung für den API/CLI Verbundzugriff](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/) mithilfe von SAML 2.0
+ PowerShell: [So richten Sie den föderierten API-Zugriff auf AWS mithilfe von Windows](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/) ein PowerShell

### Konfiguration des Skripts
<a name="script-config"></a>

1. Ändern Sie mit Notepad\$1\$1 die Standardregion in die richtige Region

1. Deaktivieren Sie mit Notepad\$1\$1 die SSL-Verifizierung für Test- und Entwicklungsumgebungen

1. Konfigurieren Sie mit Notepad\$1\$1 idpentryurl

   `https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`

### Windows-Konfiguration
<a name="win-rule-claim-config"></a>

Die folgenden Anweisungen gelten für die Python-Pakete. Die generierten Anmeldeinformationen sind 1 Stunde gültig.

1. [Downloaden und installieren Sie Python (2.7.11)](https://www.python.org/downloads/)

1. [Laden Sie die AWS-CLI-Tools herunter und installieren Sie sie](https://aws.amazon.com/cli/)

1. Installieren Sie die AMS-CLI:

   1. Laden Sie die ZIP-Datei für AMS-Distributionsdateien herunter, die Sie von Ihrem Cloud Service Delivery Manager (CSDM) erhalten haben, und entpacken Sie sie. 

      Es werden mehrere Verzeichnisse und Dateien zur Verfügung gestellt.

   1. Öffnen Sie je nach Betriebssystem entweder das Verzeichnis **Managed Cloud Distributables -> CLI -> Windows** **oder das Verzeichnis Managed Cloud Distributables -> CLI -> Linux/macOS** und:

      Führen Sie für **Windows** das entsprechende Installationsprogramm aus (diese Methode funktioniert nur auf Windows 32- oder 64-Bit-Systemen):
      + 32 Bit: ManagedCloud API\$1x86.msi
      + 64 Bit: ManagedCloud API\$1x64.msi

      **Führen Sie für **Mac/Linux** die Datei mit dem Namen MC\$1CLI.sh aus.** Sie können dies tun, indem Sie diesen Befehl ausführen:. `sh MC_CLI.sh` **Beachten Sie, dass sich die Verzeichnisse **amscm** **und amsskms** sowie ihr Inhalt im selben Verzeichnis wie die Datei MC\$1CLI.sh befinden müssen.**

   1. Wenn Ihre Unternehmensanmeldedaten über den Verbund mit AWS (die AMS-Standardkonfiguration) verwendet werden, müssen Sie ein Tool zur Verwaltung von Anmeldeinformationen installieren, das auf Ihren Verbundservice zugreifen kann. Sie können beispielsweise diesen AWS-Sicherheitsblog [How to Implementation Federated API and CLI Access Using SAML 2.0 and AD FS verwenden](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS), um Hilfe bei der Konfiguration Ihrer Tools zur Verwaltung Ihrer Anmeldeinformationen zu erhalten.

   1. Führen Sie nach der Installation die Befehle und Optionen aus `aws amscm help` und sehen Sie `aws amsskms help` sich diese an.

1. Laden Sie das erforderliche SAML-Skript herunter

   Laden Sie es auf c:\$1aws\$1scripts herunter

1. [Laden Sie PIP herunter](https://bootstrap.pypa.io/get-pip.py)

   Laden Sie es auf c:\$1aws\$1downloads herunter

1. Verwenden PowerShell und installieren Sie PIP

   <pythondir>. \$1 python.exe c:\$1aws\$1downloads\$1get -pip.py

1. Verwenden PowerShell und installieren Sie das Boto-Modul

   <pythondir\$1 scripts>Verwenden, installieren Sie das Boto-Modul ----sep----pip install boto

1. Verwenden und installieren Sie PowerShell das Modul Anfragen

   <pythondir\$1 scripts>Verwenden des Moduls für Anfragen installieren ----sep----pip install requests

1. Verwenden PowerShell und installieren Sie das Sicherheitsmodul Anfragen

   <pythondir\$1 scripts>Verwenden des Sicherheitsmoduls, install requests ----sep----pip install requests [security]

1. Verwenden PowerShell und installieren Sie das BeautifulSoup-Modul

   <pythondir\$1 scripts>Verwenden Sie das Modul beautifulsoup ----sep----pip install beautifulsoup4

1. Erstellen Sie mit Hilfe PowerShell eines Ordners namens .aws im Benutzerprofil (%userprofile%\$1 .aws)

   mkdir .aws

1. Erstellen Sie mit PowerShell, eine Datei mit Anmeldeinformationen im Ordner „.aws“

   Anmeldeinformationen für ein neues Objekt vom Typ „Datei — Force“

   Die Anmeldeinformationsdatei darf keine Dateierweiterung haben

   Der Dateiname muss ausschließlich in Kleinbuchstaben geschrieben sein und die Anmeldeinformationen enthalten

1. Öffnen Sie die Anmeldeinformationsdatei mit Notepad und fügen Sie die folgenden Daten ein, wobei Sie die richtige Region angeben

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. Verwenden PowerShell des SAML-Skripts und der Anmeldung

   <pythondir>. \$1 python.exe c:\$1aws\$1scripts\$1samlapi.py

   Benutzername: [BENUTZERNAME] @upn

   Wählen Sie die Rolle, die Sie übernehmen möchten

### Linux-Konfiguration
<a name="linux-rule-claim-config"></a>

Die generierten Anmeldeinformationen sind 1 Stunde gültig.

1. Übertragen Sie das SAML-Skript mithilfe von WinSCP

1. Übertragen Sie das Root-CA-Zertifikat mit WinSCP (ignorieren Sie es für Test und Entwicklung)

1. Fügen Sie die ROOT-CA zu den vertrauenswürdigen Root-Zertifikaten hinzu (ignorieren Sie sie für Test und Entwicklung)

   \$1 openssl x509 -inform der -in [certname] .cer -out certificate.pem (für Test und Entwicklung ignorieren)

   Fügt den Inhalt von certificate.pem am Ende der Datei/-bundle.crt hinzu (bei Test-Entwicklung ignorieren) etc/ssl/certs/ca

1. Erstellen Sie den Ordner.aws unter home/ec2-user 5

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. Übertragen Sie die Anmeldeinformationsdatei mithilfe von WinSCP in den Ordner.aws

1. Installieren Sie das Boto-Modul

   \$1 sudo pip installiere Boto

1. Installiere das Modul Anfragen

   \$1 sudo pip Installationsanfragen

1. Installieren Sie das BeautifulSoup-Modul

   \$1 sudo pip installiere beautifulsoup4

1. Kopieren Sie das Skript nach home/ec2-user

   Stellen Sie die erforderlichen Berechtigungen ein

   Führen Sie das Skript aus: samlapi.py