Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Client-Authentifizierung in AWS Client VPN
Die Client-Authentifizierung wird am ersten Zugangspunkt in die AWS Cloud implementiert. Mit ihrer Hilfe wird ermittelt, ob Clients eine Verbindung mit dem Client VPN-Endpunkt herstellen dürfen. Wenn die Authentifizierung erfolgreich ist, stellen Clients eine Verbindung mit dem Client VPN-Endpunkt her und richtet eine VPN-Sitzung ein. Schlägt die Authentifizierung fehl, wird die Verbindung abgelehnt und der Client kann keine VPN-Sitzung einrichten.
Client VPN unterstützt die folgenden Clientauthentifizierungstypen:
+ [Active Directory-Authentifizierung](ad.md) (benutzerbasiert)
+ [Gegenseitige Authentifizierung](mutual.md) (zertifikatbasiert)
+ [Single Sign-On (SAML-basierte Verbundauthentifizierung)](federated-authentication.md) (benutzerbasiert)
Sie können eine der oben genannten Methoden alleine oder eine Kombination aus gegenseitiger Authentifizierung mit einer benutzerbasierten Methode wie der folgenden verwenden:
+ Gegenseitige Authentifizierung und Verbundauthentifizierung
+ Gegenseitige Authentifizierung und Active Directory-Authentifizierung
**Wichtig**
Um einen Client-VPN-Endpunkt zu erstellen, müssen Sie unabhängig von der Art der Authentifizierung AWS Certificate Manager, die Sie verwenden, ein Serverzertifikat bereitstellen. Weitere Informationen zur Erstellung und Bereitstellung eines Serverzertifikats finden Sie unter den Schritten in [Gegenseitige Authentifizierung in AWS Client VPN](mutual.md).
Wenn Sie eine Kombination aus gegenseitiger Authentifizierung und benutzerbasierter Authentifizierung verwenden, müssen beide Methoden verwendet werden, um sich im VPN korrekt zu authentifizieren.
# Active Directory-Authentifizierung im Client VPN
Client VPN bietet Active Directory-Unterstützung durch Integration mit Directory Service. Mit der Active Directory-Authentifizierung werden Clients anhand vorhandener Active Directory-Gruppen identifiziert. Mithilfe von Directory Service Client VPN kann eine Verbindung zu vorhandenen Active Directorys hergestellt werden, die in AWS oder in Ihrem lokalen Netzwerk bereitgestellt werden. Auf diese Weise können Sie die vorhandene Infrastruktur für die Client-Authentifizierung verwenden. Wenn Sie ein lokales Active Directory verwenden und kein vorhandenes AWS verwaltetes Microsoft AD haben, müssen Sie einen Active Directory Connector (AD Connector) konfigurieren. Sie können einen Active Directory-Server zur Authentifizierung der Benutzer verwenden. Weitere Informationen zur Active-Directory-Integration finden Sie im [AWS Directory Service -Administratorhandbuch](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).
Client VPN unterstützt Multi-Factor-Authentifizierung (MFA), wenn diese für AWS Managed Microsoft AD oder AD Connector aktiviert ist. Wenn MFA aktiviert ist, müssen Clients einen Benutzernamen, ein Passwort und einen MFA-Code angeben, wenn sie sich mit einem Client VPN-Endpunkt verbinden. Weitere Informationen zur Aktivierung von MFA finden Sie unter [Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) und [Multi-Faktor-Authentifizierung für AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) im *AWS Directory Service -Administratorhandbuch*.
Informationen zu Kontingenten und Regeln zum Konfigurieren von Benutzern und Gruppen in Active Directory finden Sie unter [Kontingente für Benutzer und Gruppen](limits.md#quotas-users-groups).
# Gegenseitige Authentifizierung in AWS Client VPN
Bei der gegenseitigen Authentifizierung verwendet Client VPN zur Authentifizierung zwischen Client und Server Zertifikate. Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Der Server verwendet Client-Zertifikate zur Authentifizierung von Clients, wenn sie versuchen, eine Verbindung mit dem Client VPN-Endpunkt herzustellen. Sie müssen ein Serverzertifikat und -schlüssel sowie mindestens ein Client-Zertifikat und -Schlüssel erstellen.
Sie müssen das Serverzertifikat auf AWS Certificate Manager (ACM) hochladen und es angeben, wenn Sie einen Client-VPN-Endpunkt erstellen. Wenn Sie das Serverzertifikat in ACM hochladen, geben Sie auch die Zertifizierungsstelle (Certificate Authority, CA) an. Sie müssen das Client-Zertifikat nur dann in ACM hochladen, wenn die Zertifizierungsstelle des Client-Zertifikats von der Zertifizierungsstelle des Serverzertifikats abweicht. Weitere Informationen zu ACM finden Sie im [AWS Certificate Manager -Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/).
Sie können für jeden Client, der eine Verbindung mit dem Client VPN-Endpunkt herstellt, ein separates Client-Zertifikat und einen separaten Client-Schlüssel erstellen. Auf diese Weise können Sie ein bestimmtes Client-Zertifikat widerrufen, wenn ein Benutzer Ihre Organisation verlässt. In diesem Fall können Sie beim Erstellen des Client VPN-Endpunkts den ARN des Serverzertifikats für das Clientzertifikat angeben, vorausgesetzt, dass das Clientzertifikat von derselben Zertifizierungsstelle wie das Serverzertifikat ausgestellt wurde.
In AWS Client VPN verwendete Zertifikate müssen [RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) entsprechen, einschließlich der in Abschnitt 4.2 des Memos angegebenen Zertifikatserweiterungen.
**Anmerkung**
Client VPN-Endpunkte unterstützen bei RSA nur Schlüsselgrößen von 1024-Bit und 2048-Bit. Außerdem muss das Clientzertifikat das CN-Attribut im Feld „Subject“ (Betreff) enthalten.
Wenn Zertifikate, die mit dem Client-VPN-Dienst verwendet werden, aktualisiert werden, sei es durch automatische ACM-Rotation, manuelles Importieren eines neuen Zertifikats oder Metadaten-Updates für IAM Identity Center, aktualisiert der Client-VPN-Dienst den Client-VPN-Endpunkt automatisch mit dem neueren Zertifikat. Dies ist ein automatisierter Vorgang, der bis zu 5 Stunden dauern kann.
**Topics**
+ [Aktivieren Sie die gegenseitige Authentifizierung](client-auth-mutual-enable.md)
+ [Erneuern Sie Ihr Serverzertifikat](mutual-renew.md)
# Aktivieren Sie die gegenseitige Authentifizierung für AWS Client VPN
Sie können die gegenseitige Authentifizierung in Client VPN entweder in Windows Linux/MacOS oder in Windows aktivieren.
------
#### [ Linux/macOS ]
Im folgenden Verfahren wird OpenVPN easy-rsa zum Generieren der Server- und Client-Zertifikate sowie der Schlüssel verwendet. Anschließend werden das Serverzertifikat und der Schlüssel nach ACM hochgeladen. Weitere Informationen finden Sie in der [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md)-Datei.
**So generieren Sie die Server- und Client-Zertifikate und Schlüssel und laden Sie nach ACM hoch**
1. Klonen Sie das OpenVPN easy-rsa Repo auf Ihren On-Premise-Computer und navigieren Sie zum Ordner `easy-rsa/easyrsa3`.
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
1. Initialisieren Sie eine neue PKI-Umgebung.
```
$ ./easyrsa init-pki
```
1. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.
```
$ ./easyrsa build-ca nopass
```
1. Generieren Sie das Server-Zertifikat und den Schlüssel.
```
$ ./easyrsa --san=DNS:server build-server-full server nopass
```
1. Generieren Sie das Client-Zertifikat und den Schlüssel.
Stellen Sie sicher, dass das Client-Zertifikat und der private Client-Schlüssel gespeichert werden, da Sie diese zum Konfigurieren des Clients benötigen.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.
1. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.
Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl `mkdir`. Das folgende Beispiel erstellt einen benutzerdefinierten Ordner in Ihrem Stammverzeichnis.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
1. Laden Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel auf ACM hoch. Stellen Sie sicher, dass Sie diese in die Region hochladen, in der Sie den Client VPN-Endpunkt erstellen möchten. Die folgenden Befehle verwenden AWS CLI zum Hochladen der Zertifikate. Informationen zum Hochladen der Zertifikate mit der ACM-Konsole finden Sie unter [Importieren eines Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) im *AWS Certificate Manager -Benutzerhandbuch*.
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
Sie müssen das Clientzertifikat nicht zwangsläufig zu ACM hochladen. Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats beim Erstellen des Client-VPN-Endpunkts für den Server und den Client verwenden. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.
------
#### [ Windows ]
Mit dem folgenden Verfahren wird die Software „Easy-RSA 3.x“ installiert und dazu verwendet, Server- und Clientzertifikate sowie die Schlüssel zu generieren.
**So generieren Sie Server- und Client-Zertifikate und Schlüssel und laden Sie nach ACM hoch**
1. Öffnen Sie die Seite mit den [EasyRSA-Versionen](https://github.com/OpenVPN/easy-rsa/releases) und laden Sie die ZIP-Datei für Ihre Version von Windows herunter und extrahieren Sie sie.
1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Speicherort, an den der Ordner „`EasyRSA-3.x`“ extrahiert wurde.
1. Führen Sie den folgenden Befehl aus, um die EasyRSA-3-Shell zu öffnen.
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
1. Initialisieren Sie eine neue PKI-Umgebung.
```
# ./easyrsa init-pki
```
1. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.
```
# ./easyrsa build-ca nopass
```
1. Generieren Sie das Server-Zertifikat und den Schlüssel.
```
# ./easyrsa --san=DNS:server build-server-full server nopass
```
1. Generieren Sie das Client-Zertifikat und den Schlüssel.
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.
1. Beenden Sie die EasyRSA-3-Shell.
```
# exit
```
1. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.
Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl `mkdir`. Im folgenden Beispiel wird ein benutzerdefinierter Ordner in Ihrem C:\$1-Laufwerk erstellt.
```
C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
```
1. Laden Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel auf ACM hoch. Stellen Sie sicher, dass Sie diese in die Region hochladen, in der Sie den Client VPN-Endpunkt erstellen möchten. Die folgenden Befehle verwenden den AWS CLI , um die Zertifikate hochzuladen. Informationen zum Hochladen der Zertifikate mit der ACM-Konsole finden Sie unter [Importieren eines Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) im *AWS Certificate Manager -Benutzerhandbuch*.
```
aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
--certificate fileb://client1.domain.tld.crt \
--private-key fileb://client1.domain.tld.key \
--certificate-chain fileb://ca.crt
```
Sie müssen das Clientzertifikat nicht zwangsläufig zu ACM hochladen. Wenn das Server- und das Clientzertifikat von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie den ARN des Serverzertifikats beim Erstellen des Client-VPN-Endpunkts für den Server und den Client verwenden. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.
------
# Erneuern Sie Ihr Serverzertifikat für AWS Client VPN
Sie können ein abgelaufenes Client-VPN-Serverzertifikat erneuern und erneut importieren. Abhängig von der Version von OpenVPN easy-rsa, die Sie verwenden, variiert das Verfahren. Weitere Informationen finden Sie in der Dokumentation zur [Verlängerung und zum Widerruf von Easy-RSA 3-Zertifikaten](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md).
**Um Ihr Serverzertifikat zu erneuern**
1. Führen Sie **einen** der folgenden Schritte aus:
+ Easy-RSA Version 3.1.x
1. Führen Sie den Befehl „certificate renew“ aus.
```
$ ./easyrsa renew server nopass
```
+ Easy-RSA versie 3.2.x
1. Führen Sie den Befehl expire aus.
```
$ ./easyrsa expire server
```
1. Signieren Sie ein neues Zertifikat.
```
$ ./easyrsa --san=DNS:server sign-req server server
```
1. Erstellen Sie einen benutzerdefinierten Ordner, kopieren Sie die neuen Dateien dorthin und navigieren Sie dann in den Ordner.
```
$ mkdir ~/custom_folder2
$ cp pki/ca.crt ~/custom_folder2/
$ cp pki/issued/server.crt ~/custom_folder2/
$ cp pki/private/server.key ~/custom_folder2/
$ cd ~/custom_folder2/
```
1. Importieren Sie die neuen Dateien in ACM. Achten Sie darauf, sie in derselben Region wie den Client-VPN-Endpunkt zu importieren.
```
$ aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt \
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
```
# Single Sign-On — SAML 2.0-basierte Verbundauthentifizierung — im Client VPN
AWS Client VPN unterstützt den Identitätsverbund mit Security Assertion Markup Language 2.0 (SAML 2.0) für Client-VPN-Endpunkte. Sie können Identitätsanbieter (IdPs) verwenden, die SAML 2.0 unterstützen, um zentralisierte Benutzeridentitäten zu erstellen. Anschließend können Sie einen Client VPN-Endpunkt für die Verwendung der SAML-basierten Verbundauthentifizierung konfigurieren und ihn dem IdP zuordnen. Benutzer stellen dann mithilfe ihrer zentralen Anmeldeinformationen eine Verbindung zum Client VPN-Endpunkt her.
**Topics**
+ [Aktivieren Sie SAML](client-auth-enable-saml.md)
+ [Authentifizierungs-Workflow](#federated-authentication-workflow)
+ [Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung](#saml-requirements)
+ [Konfigurationsressourcen für SAML-basierte IdPs](#saml-config-resources)
# SAML aktivieren für AWS Client VPN
Sie können SAML für Single Sign-On für Client VPN aktivieren, indem Sie die folgenden Schritte ausführen. Wenn das Self-Service-Portal für Ihren Client VPN-Endpunkt aktiviert ist, weisen Sie Ihre Benutzer alternativ an, zum Self-Service-Portal zu gehen, um die Konfigurationsdatei und den von AWS bereitgestellten Client abzurufen. Weitere Informationen finden Sie unter [AWS Client VPN Zugang zum Self-Service-Portal](cvpn-self-service-portal.md).
**Damit Ihr SAML-basierter IdP mit einem Client VPN-Endpunkt funktioniert, müssen Sie die folgenden Schritte ausführen.**
1. Erstellen Sie eine SAML-basierte App in Ihrem ausgewählten IdP, um sie mit einer vorhandenen App zu verwenden AWS Client VPN, oder verwenden Sie eine vorhandene App.
1. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS. Ressourcen finden Sie unter [Konfigurationsressourcen für SAML-basierte IdPs](federated-authentication.md#saml-config-resources).
1. Generieren Sie in Ihrem IdP ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, und laden Sie es herunter.
Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung zwischen AWS und dem IdP einzurichten.
1. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt.
Der IAM-SAML-Identitätsanbieter definiert die AWS IdP-zu-Vertrauens-Beziehung Ihrer Organisation anhand des vom IdP generierten Metadatendokuments. Weitere Informationen finden Sie unter [Erstellen von IAM SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*. Wenn Sie die Anwendungskonfiguration im IdP später aktualisieren, generieren Sie ein neues Metadatendokument und aktualisieren Sie Ihren IAM SAML-Identitätsanbieter.
**Anmerkung**
Sie brauchen keine IAM-Rolle zu erstellen, um den IAM SAML-Identitätsanbieter zu verwenden.
1. Erstellen Sie einen Client VPN-Endpunkt.
Legen Sie die Verbundauthentifizierung als Authentifizierungstyp fest und geben Sie den von Ihnen erstellten IAM SAML-Identitätsanbieter an. Weitere Informationen finden Sie unter [Einen AWS Client VPN Endpunkt erstellen](cvpn-working-endpoint-create.md).
1. Exportieren Sie die [Client-Konfigurationsdatei](cvpn-working-endpoint-export.md) und verteilen Sie sie an Ihre Benutzer. Weisen Sie Ihre Benutzer an, die neueste Version des von [AWS bereitgestellten Clients](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) herunterzuladen und diese zum Laden der Konfigurationsdatei und Herstellen einer Verbindung mit dem Client VPN-Endpunkt zu verwenden.
## Authentifizierungs-Workflow
Das folgende Diagramm bietet eine Übersicht zum Authentifizierungs-Workflow für einen Client VPN-Endpunkt, der die SAML-basierte Verbundauthentifizierung verwendet. Wenn Sie den Client VPN-Endpunkt erstellen und konfigurieren, geben Sie den IAM SAML-Identitätsanbieter an.
![\[Authentifizierungs-Workflow\]](http://docs.aws.amazon.com/de_de/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)
1. Der Benutzer öffnet den AWS bereitgestellten Client auf seinem Gerät und initiiert eine Verbindung zum Client-VPN-Endpunkt.
1. Der Client VPN-Endpunkt sendet eine IdP-URL und eine Authentifizierungsanforderung an den Client zurück (basierend auf den Informationen, die im IAM SAML-Identitätsanbieter bereitgestellt wurden).
1. Der AWS bereitgestellte Client öffnet ein neues Browserfenster auf dem Gerät des Benutzers. Der Browser gibt eine Anfrage an den IdP aus und zeigt eine Anmeldeseite an.
1. Der Benutzer gibt seine Anmeldeinformationen auf der Anmeldeseite ein und der IdP sendet eine signierte SAML-Assertion zurück an den Client.
1. Der AWS bereitgestellte Client sendet die SAML-Assertion an den Client-VPN-Endpunkt.
1. Der Client VPN-Endpunkt validiert die Assertion und erlaubt oder verweigert dem Benutzer den Zugriff.
## Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung
Im Folgenden sind die Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung aufgeführt.
+ Informationen zu Kontingenten und Regeln für die Konfiguration von Benutzern und Gruppen in einem SAML-basierten IdP finden Sie unter [Kontingente für Benutzer und Gruppen](limits.md#quotas-users-groups).
+ Die SAML-Assertion und -Antwort müssen signiert sein.
+ AWS Client VPN unterstützt nur die Bedingungen "AudienceRestriction" und "NotBefore und NotOnOrAfter" in SAML-Assertionen.
+ Die maximal unterstützte Größe für SAML-Antworten beträgt 128 KB.
+ AWS Client VPN stellt keine signierten Authentifizierungsanfragen bereit.
+ Die einmalige SAML-Abmeldung wird nicht unterstützt. Benutzer können sich abmelden, indem sie die Verbindung zum AWS bereitgestellten Client trennen, oder Sie können [die Verbindungen beenden](cvpn-working-connections-disassociate.md).
+ Client VPN-Endpunkte unterstützen nur einen einzelnen IdP.
+ Multi-Factor Authentication (MFA) wird unterstützt, wenn sie in Ihrem IdP aktiviert ist.
+ Benutzer müssen den AWS bereitgestellten Client verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen. Sie müssen Version 1.2.0 oder höher verwenden. Weitere Informationen finden Sie unter [Herstellen einer Verbindung über den AWS bereitgestellten Client](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Die folgenden Browser werden für die IdP-Authentifizierung unterstützt: Apple Safari, Google Chrome, Microsoft Edge und Mozilla Firefox.
+ Der AWS bereitgestellte Client reserviert den TCP-Port 35001 auf den Geräten der Benutzer für die SAML-Antwort.
+ Wenn das Metadatendokument für den IAM SAML-Identitätsanbieter mit einer falschen oder bösartigen URL aktualisiert wird, kann dies zu Authentifizierungsproblemen für Benutzer oder zu Phishing-Angriffen führen. Daher empfiehlt es sich, am IAM SAML-Identitätsanbieter vorgenommene Aktualisierungen mit AWS CloudTrail zu überwachen. Weitere Informationen finden Sie unter [Protokollierung von IAM- und AWS STS -Anrufen mit AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) im *IAM-Benutzerhandbuch*.
+ AWS Client VPN sendet über eine HTTP-Redirect-Bindung eine AuthN-Anfrage an den IdP. Daher sollte der IdP die HTTP-Redirect-Bindung unterstützen und sie sollte im Metadatendokument des IdP vorhanden sein.
+ Für die SAML-Assertion müssen Sie ein E-Mail-Adressformat für das `NameID`-Attribut verwenden.
+ Die maximale Länge des Benutzernamens (`NameID`) beträgt 1024 Byte. Verbindungen mit längeren Benutzernamen werden abgelehnt.
+ Wenn Zertifikate, die mit dem Client-VPN-Dienst verwendet werden, aktualisiert werden, sei es durch automatische ACM-Rotation, manuelles Importieren eines neuen Zertifikats oder Metadaten-Updates für IAM Identity Center, aktualisiert der Client-VPN-Dienst den Client-VPN-Endpunkt automatisch mit dem neueren Zertifikat. Dies ist ein automatisierter Vorgang, der bis zu 5 Stunden dauern kann.
## Konfigurationsressourcen für SAML-basierte IdPs
In der folgenden Tabelle sind die SAML-basierten Produkte aufgeführt IdPs , die wir für die Verwendung mit ihnen getestet haben AWS Client VPN, sowie Ressourcen, die Ihnen bei der Konfiguration des IdP helfen können.
| IdP | Ressource |
| --- | --- |
| Okta | [Authentifizieren AWS Client VPN Sie Benutzer mit SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) |
| Microsoft Entra ID (früher Azure Active Directory) | Weitere Informationen finden Sie unter [Tutorial: Microsoft Entra Single Sign-On (SSO) -Integration mit AWS ClientVPN](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) auf der Microsoft-Dokumentationswebsite. |
| JumpCloud | [Integrieren Sie mit AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) |
| AWS IAM Identity Center | [Verwenden von IAM Identity Center mit AWS Client VPN zur Authentifizierung und Autorisierung](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/) |
### Dienstanbieterinformationen zum Erstellen einer Anwendung
Um eine SAML-basierte App mit einem IdP zu erstellen, der nicht in der obigen Tabelle aufgeführt ist, verwenden Sie die folgenden Informationen, um die AWS Client VPN Service Provider-Informationen zu konfigurieren.
+ Assertionsverbraucherdienst-URL: `http://127.0.0.1:35001`
+ Zielgruppen-URI: `urn:amazon:webservices:clientvpn`
In der SAML-Antwort des IdP muss mindestens ein Attribut enthalten sein. Im Folgenden finden Sie einige Beispielattribute.
| Attribut | Description |
| --- | --- |
| FirstName | Der Vorname des Benutzers. |
| LastName | Der Nachname des Benutzers. |
| memberOf | Die Gruppe oder Gruppen, zu der bzw. denen der Benutzer gehört. |
**Anmerkung**
Das `memberOf`-Attribut ist für die Verwendung von gruppenbasierten Autorisierungsregeln für Active Directory oder SAML IdP erforderlich. Es wird auch zwischen Groß- und Kleinschreibung unterschieden, und es muss genau wie angegeben konfiguriert werden. Weitere Informationen finden Sie unter [Netzwerkbasierte Autorisierung](client-authorization.md#auth-rules) und [AWS Client VPN Autorisierungsregeln](cvpn-working-rules.md).
### Unterstützung des Self-Service-Portals
Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktivieren, melden sich Benutzer mit ihren SAML-basierten IdP-Anmeldeinformationen beim Portal an.
Wenn Ihr IdP mehrere Assertion Consumer Service (ACS) unterstützt URLs, fügen Sie Ihrer App die folgende ACS-URL hinzu.
```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
Wenn Sie den Client-VPN-Endpunkt in einer GovCloud Region verwenden, verwenden Sie stattdessen die folgende ACS-URL. Wenn Sie dieselbe IDP-App für die Authentifizierung sowohl für Standard- als auch für GovCloud Regionen verwenden, können Sie beide hinzufügen. URLs
```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
Wenn Ihr IdP nicht mehrere ACS unterstützt URLs, gehen Sie wie folgt vor:
1. Erstellen Sie eine zusätzliche SAML-basierte App in Ihrem IdP und geben Sie die folgende ACS-URL an.
```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
1. Generieren und laden Sie ein Verbund-Metadaten-Dokument.
1. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt. Weitere Informationen finden Sie unter [Erstellen von IAM SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Sie erstellen diesen IAM SAML-Identitätsanbieter zusätzlich zu dem, den Sie [für die Haupt-App erstellen](#federated-authentication).
1. [Erstellen Sie den Client VPN-Endpunkt](cvpn-working-endpoint-create.md) und geben Sie die beiden von Ihnen erstellten IAM SAML-Identitätsanbieter an.