Cómo funciona la integración entre AD FS y AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona la integración entre AD FS y AMS

La confianza unidireccional entre la red local y el dominio AMS es el medio predeterminado de acceso a las pilas y. VPCs Cuando se crean una VPC y una pila, el acceso se concede mediante grupos de seguridad de Active Directory preconfigurados. Además, el acceso a la misma se Consola de administración de AWS puede configurar mediante el Servicio de federación de Active Directory (AD FS) o cualquier software de federación compatible con SAML, para un inicio de sesión único (SSO) en la consola de administración. AWS

nota

AMS puede federarse en muchos servicios de federación, como Ping, Okta, etc. No está limitado a AD FS; aquí le ofrecemos un ejemplo de una tecnología de federación disponible para usted.

La información que aparece aquí está duplicada de esta entrada de blog: Cómo habilitar la federación para AWS usar Windows Active Directory, AD FS y SAML 2.0.

La autenticación segura en su empresa y entre la empresa y la nube implica varios pasos. AWS

  1. El flujo se inicia cuando un usuario (llamémoslo Bob) visita el sitio de ejemplo de AD FS (https://Fully.Qualified.Domain.Name). Here/adfs/ls/IdpInitiatedSignOn.aspx) dentro de su dominio. Cuando instalas AD FS, obtienes un nuevo directorio virtual llamado adfs para tu sitio web predeterminado, que incluye esta página.

  2. La página de inicio de sesión autentica a Bob frente a AD. Según el navegador que utilice Bob, es posible que se le pida su nombre de usuario y contraseña de AD.

  3. El navegador de Bob recibe una afirmación de SAML en forma de respuesta de autenticación de AD FS.

  4. El navegador de Bob publica la afirmación de SAML en el punto final de inicio de AWS sesión de SAML (/saml). https://signin.aws.amazon.com En segundo plano, el inicio de sesión utiliza la API de AssumeRoleWithSAML para solicitar credenciales de seguridad temporales y, a continuación, crea una URL de inicio de sesión para el. Consola de administración de AWS

  5. El navegador de Bob recibe la URL de inicio de sesión y se redirige a la consola.

Desde la perspectiva de Bob, el proceso se lleva a cabo de forma transparente. Comienza en un sitio web interno y termina en el Consola de administración de AWS, sin tener que proporcionar ninguna AWS credencial.

nota

Encontrará más información sobre cómo configurar la federación en la consola AMS en:

Además, consulte el apéndice: Regla de reclamación de AD FS y configuración de SAML. Para obtener información sobre el uso de AWS Microsoft AD para respaldar sus aplicaciones compatibles con Active Directory, en la AWS nube, que están sujetas a requisitos de conformidad, consulte Administrar la conformidad con Microsoft AD.