Configuración de la federación en la consola AMS (SALZ) - Guía de incorporación avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la federación en la consola AMS (SALZ)

Las funciones de IAM y el proveedor de identidad de SAML (entidad de confianza) que se detallan en la siguiente tabla se han proporcionado como parte de la incorporación de su cuenta. Estas funciones te permiten enviar y supervisar RFCs solicitudes de servicio e informes de incidentes, así como obtener información sobre tus cuentas. VPCs

Rol Proveedor de identidades Permisos

Cliente_ _Role ReadOnly

SAML

Para cuentas AMS estándar. Permite enviar solicitudes de servicio e RFCs incidentes para realizar cambios en la infraestructura gestionada por AMS, así como crear solicitudes de servicio e incidentes.

customer_managed_ad_user_role

SAML

Para cuentas de Active Directory administradas por AMS. Permite iniciar sesión en la consola AMS para crear solicitudes de servicio e incidentes (no RFCs).

Para ver la lista completa de las funciones disponibles en las diferentes cuentas, consulteFunción de usuario de IAM en AMS .

Un miembro del equipo de incorporación carga el archivo de metadatos de su solución de federación al proveedor de identidades preconfigurado. Utiliza un proveedor de identidades de SAML cuando quiere establecer confianza entre un IdP (proveedor de identidades) compatible con SAML, como Shibboleth o Active Directory Federation Services, de modo que los usuarios de su organización puedan acceder a los recursos de AWS. Los proveedores de identidad SAML en IAM se utilizan como principales en una política de confianza de IAM con las funciones anteriores.

Mientras que otras soluciones de federación proporcionan instrucciones de integración para AWS, AMS tiene instrucciones independientes. En la siguiente entrada del blog, Enabling Federation to AWS Using Windows Active Directory, AD FS y SAML 2.0, junto con las modificaciones que se indican a continuación, permitirán a los usuarios corporativos acceder a varias cuentas de AWS desde un único navegador.

Tras crear el fideicomiso de la parte de confianza según se indica en la entrada del blog, configure las reglas de reclamaciones de la siguiente manera:

  • NameId: Sigue la entrada del blog.

  • RoleSessionName: Utilice los siguientes valores:

    • Nombre de la regla de reclamación: RoleSessionName

    • Almacén de atributos: Active Directory

    • Atributo de LDAP: SAM-Account-Name

    • Tipo de reclamación saliente: atributos/ https://aws.amazon.com/SAML/ RoleSessionName

  • Obtenga grupos de anuncios: siga la publicación del blog.

  • Reclamación de rol: sigue la entrada del blog, pero para la regla personalizada, usa lo siguiente:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
 => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
 "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Al usar AD FS, debe crear grupos de seguridad de Active Directory para cada rol en el formato que se muestra en la siguiente tabla (customer_managed_ad_user_role es solo para las cuentas AD administradas por AMS):

Grupo Rol

AWS- [AccountNo] ReadOnly -Cliente_ _Rol

Cliente_ _Rol ReadOnly

AWS- [AccountNo] -customer_managed_ad_user_role

custome_managed_ad_user_role

Para obtener más información, consulte Configuración de las aserciones de SAML para la respuesta de autenticación.

sugerencia

Para ayudarte a solucionar problemas, descarga el complemento SAML Tracer para tu navegador.