Implementieren Sie die SAML 2.0-Authentifizierung für Amazon mithilfe WorkSpaces von Auth0 und AWS Managed Microsoft AD - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsEpenFehlerbehebungZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementieren Sie die SAML 2.0-Authentifizierung für Amazon mithilfe WorkSpaces von Auth0 und AWS Managed Microsoft AD

Siva Vinnakota und Shantanu Padhye, Amazon Web Services

Übersicht

In diesem Muster wird untersucht, wie Sie Auth0 integrieren können AWS Directory Service for Microsoft Active Directory , um eine robuste SAML 2.0-Authentifizierungslösung für Ihre WorkSpaces Amazon-Umgebung zu erstellen. Es wird erklärt, wie ein Verbund zwischen diesen eingerichtet werden kann AWS-Services , um erweiterte Funktionen wie Multi-Faktor-Authentifizierung (MFA) und benutzerdefinierte Anmeldeabläufe zu ermöglichen und gleichzeitig einen nahtlosen Desktop-Zugriff zu gewährleisten. AWS Managed Microsoft AD Ganz gleich, ob Sie nur eine Handvoll oder Tausende von Benutzern verwalten, diese Integration bietet Flexibilität und Sicherheit für Ihr Unternehmen. Dieses Muster enthält die Schritte für den Einrichtungsprozess, sodass Sie diese Lösung in Ihrer eigenen Umgebung implementieren können.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein aktiver AWS-Konto

  • AWS Managed Microsoft AD

  • Ein bereitgestellter Desktop in Amazon WorkSpaces Personal, der verknüpft ist mit AWS Managed Microsoft AD

  • Eine Amazon Elastic Compute Cloud (Amazon EC2) -Instanz

  • Ein Auth0-Konto

Einschränkungen

Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie AWS-Services unter Nach Regionen. Informationen zu bestimmten Endpunkten finden Sie auf der Seite Dienstendpunkte und Kontingente. Wählen Sie dort den Link für den Dienst aus.

Architektur

Der SAML 2.0-Authentifizierungsprozess für eine WorkSpaces Client-Anwendung besteht aus fünf Schritten, die in der folgenden Abbildung veranschaulicht werden. Diese Schritte stellen einen typischen Ablauf für die Anmeldung dar. Sie können diesen verteilten Authentifizierungsansatz verwenden, nachdem Sie die Anweisungen in diesem Muster befolgt haben, um eine strukturierte und sichere Methode für den Benutzerzugriff bereitzustellen.

Workflow für den SAML 2.0-Authentifizierungsprozess für eine WorkSpaces Client-Anwendung.

Arbeitsablauf:

  1. Registrierung. Der Benutzer startet die Client-Anwendung für WorkSpaces und gibt den WorkSpaces Registrierungscode für sein SAML-fähiges WorkSpaces Verzeichnis ein. WorkSpaces gibt die Auth0 Identity Provider (IdP) -URL an die Client-Anwendung zurück.

  2. Einloggen.Der WorkSpaces Client leitet mithilfe der Auth0-URL zum Webbrowser des Benutzers weiter.  Der Benutzer authentifiziert sich mit seinem Benutzernamen und Passwort. Auth0 gibt eine SAML-Assertion an den Client-Browser zurück. Die SAML-Assertion ist ein verschlüsseltes Token, das die Identität des Benutzers bestätigt.

  3. Authentifizieren Sie sich. Der Clientbrowser sendet die SAML-Assertion an den AWS-Anmeldung Endpunkt, um sie zu validieren. AWS-Anmeldung ermöglicht es dem Aufrufer, eine AWS Identity and Access Management (IAM-) Rolle anzunehmen. Dadurch wird ein Token zurückgegeben, das temporäre Anmeldeinformationen für die IAM-Rolle enthält.

  4. WorkSpaces einloggen. Der WorkSpaces Client präsentiert das Token dem WorkSpaces Service-Endpunkt. WorkSpaces tauscht das Token gegen ein Sitzungstoken aus und gibt das Sitzungstoken mit einer Anmelde-URL an den WorkSpaces Client zurück. Wenn der WorkSpaces Client die Anmeldeseite lädt, wird der Wert für den Benutzernamen mit dem NameId Wert aufgefüllt, der in der SAML-Antwort übergeben wurde.

  5. Streamen. Der Benutzer gibt sein Passwort ein und authentifiziert sich anhand des WorkSpaces Verzeichnisses. WorkSpaces Gibt nach der Authentifizierung ein Token an den Client zurück. Der Client leitet zurück zum WorkSpaces Dienst und präsentiert das Token. Dadurch wird eine Streaming-Sitzung zwischen dem WorkSpaces Client und dem vermittelt WorkSpace.

Anmerkung

Informationen zur Einrichtung eines nahtlosen Single Sign-On-Erlebnisses, für das keine Kennwortabfrage erforderlich ist, finden Sie in der Dokumentation unter Certificate-based Authentication und WorkSpaces Personal. WorkSpaces

Tools

AWS-Services

  • Amazon WorkSpaces ist ein vollständig verwalteter Service für virtuelle Desktop-Infrastrukturen (VDI), der Benutzern Cloud-basierte Desktops bietet, ohne Hardware beschaffen und bereitstellen oder komplexe Software installieren zu müssen.

  • AWS Directory Service for Microsoft Active Directoryermöglicht Ihren verzeichnissensitiven Workloads und AWS Ressourcen die Verwendung von Microsoft Active Directory in der. AWS Cloud

Andere Tools

  • Auth0 ist eine Authentifizierungs- und Autorisierungsplattform, mit der Sie den Zugriff auf Ihre Anwendungen verwalten können.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Installieren Sie den Active Directory-LDAP-Connector in Auth0 mit. AWS Managed Microsoft AD

  1. Melden Sie sich beim Auth0-Dashboard an und wählen Sie Authentication, Enterprise, Active Directory/LDAP aus. Wählen Sie Verbindung erstellen.

  2. Geben Sie den Namen für Ihre Active Directory-Verbindung ein, und wählen Sie dann Create.

  3. Laden Sie auf der Registerkarte Setup den Agenten für Ihr Betriebssystem herunter.

    Wenn die Installation abgeschlossen ist, zeigt Ihr Standardbrowser eine Aufforderung zur Eingabe der Ticket-URL an.

  4. Geben Sie die URL des Bereitstellungstickets ein, die für Ihre Verbindungszeichenfolge eindeutig sein sollte, und wählen Sie dann Weiter aus.

  5. Geben Sie im Dialogfeld AD LDAP-Konfiguration für Benutzername und Passwort Ihre Administratoranmeldedaten ein, und wählen Sie dann Speichern aus.

    Wenn die Verbindung zu Auth0 hergestellt wurde, wird das Konfigurationsprotokoll mit dem Berichtsstatus OK für alle Prüfungen angezeigt.

Cloud-Administrator, Cloud-Architekt

Erstellen Sie eine Anwendung in Auth0, um die SAML-Metadaten-Manifestdatei zu generieren.

  1. Melden Sie sich beim Auth0-Dashboard an und erstellen Sie eine neue Anwendung, indem Sie den Anweisungen in der Auth0-Dokumentation folgen.

  2. Wählen Sie im Auth0-Dashboard den Namen der Anwendung aus, um auf die Konfigurationseinstellungen zuzugreifen. Wählen Sie auf der AddOnsRegisterkarte SAML2 Web App aus.

  3. Geben Sie auf der Registerkarte Einstellungen für das Add-on für Application Callback URL den Wert https://signin.aws.amazon.com/saml ein. Hier sendet das SAML-Token die Anfrage. POST

  4. Fügen Sie auf der Registerkarte Einstellungen in das Feld Einstellungen den folgenden SAML-Konfigurationscode im JSON-Format ein:

    {
  "audience": "https://signin.aws.amazon.com/saml",
  "mappings": {
    "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sAMAccountName",
    "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  },
  "createUpnClaim": false,
  "passthroughClaimsWithNoMapping": false,
  "mapUnknownClaimsAsIs": false,
  "mapIdentities": false,
  "nameIdentifierFormat": "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent",
  "nameIdentifierProbes": [
    "http://schemas.auth0.com/sAMAccountName"
  ]
}

  5. Speichern Sie, und wählen Sie dann Aktivieren aus.

  6. Wählen Sie die Registerkarte Verwendung und laden Sie die Metadaten-Manifestdatei für den Identity Provider herunter. Diese Informationen sind für die nächsten Schritte erforderlich.

  7. Schließen Sie das SAML2 Web App-Fenster.

  8. Wählen Sie auf dem Anwendungsbildschirm Verbindungen aus. Wählen Sie unter Enterprise den richtigen Active Directory/LDAP Connector aus und aktivieren Sie ihn.

Cloud-Administrator, Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie einen SAML 2.0-IdP in IAM.

Um SAML 2.0 als IdP einzurichten, folgen Sie den Schritten, die in Erstellen eines SAML-Identitätsanbieters in IAM in der IAM-Dokumentation beschrieben sind.

Cloud-Administrator

Erstellen Sie eine IAM-Rolle und -Richtlinie für den SAML 2.0-Verbund.

  1. Erstellen Sie eine IAM-Rolle für den SAML 2.0-Verbund. Anweisungen finden Sie in Schritt 2 der Anleitung zur Einrichtung von SAML 2.0 für WorkSpaces Personal in der Dokumentation. WorkSpaces

  2. Erstellen Sie eine IAM-Richtlinie und ordnen Sie sie der Rolle zu, die Sie im vorherigen Schritt erstellt haben. Anweisungen finden Sie in Schritt 3 der Anleitung zur Einrichtung von SAML 2.0 for WorkSpaces Personal in der WorkSpaces Dokumentation.

Cloud-Administrator
AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie Auth0- und SAML-Assertionen.

Sie können Auth0-Aktionen verwenden, um Assertionen in SAML 2.0-Antworten zu konfigurieren. Eine SAML-Assertion ist ein verschlüsseltes Token, das die Identität des Benutzers bestätigt.

  1. Melden Sie sich im Auth0-Dashboard an. Wählen Sie Aktionen, Bibliothek, Aktion erstellen, Von Grund auf neu erstellen.

  2. Geben Sie die folgenden Werte ein und wählen Sie dann Create.

    Name: Geben Sie einen Namen für die Aktion an

    Auslöser: Wählen Sie Login/Post Login

    Runtime: Wählen Sie Node 18

  3. Geben Sie auf dem nächsten Bildschirm den folgenden Code ein:

    exports.onExecutePostLogin = async (event, api) => 
{   if (event.client.name === "Workspace_Saml")
   {     const awsRole = 'arn:aws:iam::030784294031:role/Workspace_Auth0,arn:aws:iam::030784294031:saml-provider/Auth0';
     const awsRoleSession = event.user.sAMAccountName;
     const email = event.user.emails[0];
     api.samlResponse.setDestination('https://signin.aws.amazon.com/saml');
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/Role', awsRole)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/RoleSessionName', awsRoleSession)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email', email)
   } return;
};

  4. Wählen Sie Bereitstellen.

Damit ist die Einrichtung der SAML 2.0-Authentifizierung für WorkSpaces persönliche Desktops abgeschlossen. Im Abschnitt Architektur wird der Authentifizierungsprozess nach der Einrichtung veranschaulicht.

Cloud-Administrator

Fehlerbehebung

ProblemLösung

Probleme mit der SAML 2.0-Authentifizierung in WorkSpaces

Wenn Sie bei der Implementierung der SAML 2.0-Authentifizierung für WorkSpaces Personal auf Probleme stoßen, folgen Sie den Schritten und Links, die im AWS re:POST-Artikel zur Fehlerbehebung bei der SAML 2.0-Authentifizierung beschrieben sind.

Weitere Informationen zur Untersuchung von SAML 2.0-Fehlern beim Zugriff finden Sie unter: WorkSpaces

Zugehörige Ressourcen