Regla de notificación de AD FS y configuración de SAML - Guía de usuario avanzada de AMS
Configuraciones de reglas de reclamación de ADFSConsola webAcceso a API y CLI con SAML

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Regla de notificación de AD FS y configuración de SAML

ActiveDirectory Regla de notificación de Federation Services (AD FS) y configuración de SAML para AWS Managed Services (AMS)

Para step-by-step obtener instrucciones detalladas sobre cómo instalar y configurar AD FS, consulte Habilitar la federación en AWS mediante Windows Active Directory, ADFS y SAML 2.0.

Configuraciones de reglas de reclamación de ADFS

Si ya tiene una implementación de ADFS, configure lo siguiente:

  • Confiar en la confianza de una

  • Normas de reclamación

Las normas de confianza y reclamaciones de la parte que confía se llevan a cabo desde el blog Habilitar la federación hasta AWS con Windows Active Directory, AD FS y SAML 2.0

  • Reglas de reclamaciones:

    • Nameid: configuración por publicación de blog

    • RoleSessionName: Configure de la siguiente manera

      • Nombre de la regla de reclamación: RoleSessionName

      • Almacén de atributos: Active Directory

      • Atributo de LDAP: SAM-Account-Name

      • Tipo de reclamación saliente: https://aws.amazon.com/SAML/Attributes/RoleSessionName

      • Obtenga grupos de AD: configuración por publicación de blog

      • Afirmación de rol: configure de la siguiente manera

        
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]

        
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Consola web

Puede acceder a la consola web de AWS mediante el siguiente enlace y sustituirla [ADFS-FQDN] por el FQDN de su implementación de ADFS.

https://.aspx [ADFS-FQDN] adfs/ls/IdpInitiatedSignOn

Su departamento de TI puede implementar el enlace anterior entre la población de usuarios mediante una política de grupo.

Acceso a API y CLI con SAML

Cómo configurar el acceso a la API y a la CLI con SAML.

Los paquetes de Python provienen de las siguientes publicaciones de blog:

Configuración de scripts

  1. Con Notepad++, cambie la región predeterminada a la región correcta

  2. Con Notepad++, deshabilite la verificación SSL para los entornos de prueba y desarrollo

  3. Con Notepad++, configure idpentryurl

    https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices

Configuración de Windows

Las instrucciones que aparecen a continuación son para los paquetes de python. Las credenciales generadas serán válidas durante 1 hora.

  1. Descargue e instale python (2.7.11)

  2. Descargar e instalar las herramientas de AWS CLI

  3. Instale la CLI de AMS:

    1. Descargue el archivo zip de productos distribuibles de AMS proporcionado por su administrador de prestación de servicios en la nube (CSDM) y descomprímalo.

      Hay varios directorios y archivos disponibles.

    2. Abra el directorio Managed Cloud Distributables -> CLI -> Windows o Managed Cloud Distributables -> CLI -> Linux/macOS, según su sistema operativo, y:

      Para Windows, ejecute el instalador adecuado (este método solo funciona en sistemas Windows de 32 o 64 bits):

      • 32 bits: ManagedCloud API_x86.msi

      • 64 bits: ManagedCloud API_x64.msi

      Para Mac/Linux, ejecute el archivo denominado: MC_CLI.sh. Puede hacerlo ejecutando este comando:. sh MC_CLI.sh Tenga en cuenta que los directorios amscm y amsskms y su contenido deben estar en el mismo directorio que el archivo MC_CLI.sh.

    3. Si sus credenciales corporativas se utilizan mediante la federación con AWS (la configuración predeterminada de AMS), debe instalar una herramienta de administración de credenciales que pueda acceder a su servicio de federación. Por ejemplo, puede utilizar este blog de seguridad de AWS sobre cómo implementar el acceso federado a las API y CLI mediante SAML 2.0 y AD FS como ayuda para configurar sus herramientas de administración de credenciales.

    4. Tras la instalación, ejecute aws amscm help y consulte los comandos y aws amsskms help las opciones.

  4. Descargue el script de SAML necesario

    Descárguelo en c:\aws\scripts

  5. Descargue PIP

    Descárguelo a c:\aws\downloads

  6. Utilizando PowerShell, instale PIP

    <pythondir>. \ python.exe c:\aws\downloads\get -pip.py

  7. Utilizando PowerShell, instale el módulo de arranque

    <pythondir\ scripts>Usando, instale el módulo boto ----sep----pip install boto

  8. Uso e instalación PowerShell del módulo de solicitudes

    <pythondir\ scripts>Uso del módulo de solicitudes de instalación ----sep----pip install requests

  9. Uso PowerShell e instalación del módulo de seguridad de solicitudes

    <pythondir\ scripts>Uso del módulo de seguridad de solicitudes de instalación ----sep----pip install requests [security]

  10. Usando PowerShell, instale el módulo beautifulsoup

    <pythondir\ scripts>Usando, instale el módulo beautifulsoup ----sep----pip instale beautifulsoup4

  11. Usando PowerShell, cree una carpeta llamada .aws en el perfil del usuario (%userprofile%\ .aws)

    mkdir .aws

  12. Con PowerShell, cree un archivo de credenciales en la carpeta .aws

    Archivo de credenciales de elemento nuevo: force

    El archivo de credenciales no debe tener una extensión

    El nombre del archivo debe estar todo en minúsculas y tener las credenciales del nombre

  13. Abra el archivo de credenciales con el bloc de notas y pegue los siguientes datos, especificando la región correcta

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  14. Utilice el PowerShell script SAML y el inicio de sesión

    <pythondir>. \ python.exe c:\aws\scripts\samlapi.py

    Nombre de usuario: [NOMBRE DE USUARIO] @upn

    Elige el rol que te gustaría asumir

Configuración de Linux

Las credenciales generadas serán válidas durante 1 hora.

  1. Con WinSCP, transfiera el script SAML

  2. Con WinSCP, transfiera el certificado de CA raíz (ignorarlo para pruebas y desarrollo)

  3. Agregue la CA RAÍZ a los certificados raíz de confianza (omítala para pruebas y desarrollo)

    $ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignorar para pruebas y desarrollo)

    Añada el contenido de certificate.pem al final del archivo/-bundle.crt (ignore para desarrolladores de pruebas) etc/ssl/certs/ca

  4. Cree la carpeta.aws en home/ec2-user 5

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  5. Con WinSCP, transfiera el archivo de credenciales a la carpeta.aws

  6. Instale el módulo de arranque

    $ sudo pip install boto

  7. Instale el módulo de solicitudes

    Solicitudes de instalación de $ sudo pip

  8. Instale el módulo beautifulsoup

    $ sudo pip instala beautifulsoup4

  9. Copie el script a home/ec2-user

    Establezca los permisos necesarios

    Ejecute el script: samlapi.py