Configurations des règles de réclamation ADFS console Web Accès à l'API et à la CLI avec SAML

Règle de réclamation AD FS et paramètres SAML

ActiveDirectory Règle de réclamation des services de fédération (AD FS) et paramètres SAML pour AWS Managed Services (AMS)

Pour step-by-step obtenir des instructions détaillées sur l'installation et la configuration d'AD FS, voir Activation de la fédération sur AWS à l'aide de Windows Active Directory, ADFS et SAML 2.0.

Configurations des règles de réclamation ADFS

Si vous disposez déjà d'une implémentation ADFS, configurez les éléments suivants :

Fier sur la confiance des parties
Règles relatives aux réclamations

Les règles relatives à la confiance et aux réclamations des parties fiables sont décrites dans le blog Enabling Federation to AWS Using Windows Active Directory, AD FS et SAML 2.0

Règles relatives aux réclamations :
- Nameid : Configuration par article de blog
- RoleSessionName: configurez comme suit
  - Nom de la règle de réclamation : RoleSessionName
  - Boutique d'attributs : Active Directory
  - Attribut LDAP : SAM-Account-Name
  - Type de réclamation sortante : https://aws.amazon.com/SAML/Attributes/RoleSessionName
  - Obtenir des groupes AD : configuration par article de blog
  - Réclamation de rôle : configurez comme suit
    
    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
    
    => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

console Web

Vous pouvez accéder à la console Web AWS en utilisant le lien ci-dessous en le [ADFS-FQDN] remplaçant par le nom de domaine complet de votre implémentation ADFS.

https :[ADFS-FQDN]//adfs/ls/IdpInitiatedSignOn.aspx

Votre service informatique peut déployer le lien ci-dessus auprès de la population d'utilisateurs via une politique de groupe.

Accès à l'API et à la CLI avec SAML

Comment configurer l'accès à l'API et à la CLI avec SAML

Les packages python proviennent des articles de blog ci-dessous :

NTLM : Comment implémenter un accès fédéré à l'API et à la CLI à l'aide de SAML 2.0 et d'AD FS
Formulaires : comment implémenter une solution générale d' API/CLI accès fédéré à l'aide de SAML 2.0
PowerShell: Comment configurer un accès d'API fédéré à AWS à l'aide de Windows PowerShell

Configuration du script

À l'aide de Notepad++, remplacez la région par défaut par la bonne région
À l'aide de Notepad++, désactivez la vérification SSL pour les environnements de test et de développement
À l'aide de Notepad++, configurez idpentryurl

https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices

Configuration de Windows

Les instructions ci-dessous concernent les packages python. Les informations d'identification générées seront valides pendant 1 heure.

Téléchargez et installez Python (2.7.11)
Téléchargez et installez les outils de la CLI AWS
Installez l'AMS CLI :
1. Téléchargez le fichier zip des distribuables AMS fourni par votre gestionnaire de prestation de services cloud (CSDM) et décompressez-le.
  
  Plusieurs répertoires et fichiers sont mis à disposition.
2. Ouvrez le répertoire Managed Cloud Distributables -> CLI -> Windows ou Managed Cloud Distributables -> CLI -> Linux/ macOS, selon votre système d'exploitation, et :
  
  Pour Windows, exécutez le programme d'installation approprié (cette méthode ne fonctionne que sur les systèmes Windows 32 ou 64 bits) :
  - 32 bits : ManagedCloud API_x86.msi
  - 64 bits : ManagedCloud API_x64.msi
  Pour Mac/Linux, exécutez le fichier nommé : MC_CLI.sh. Vous pouvez le faire en exécutant cette commande :sh MC_CLI.sh. Notez que les répertoires amscm et amsskms ainsi que leur contenu doivent se trouver dans le même répertoire que le fichier MC_CLI.sh.
3. Si les informations d'identification de votre entreprise sont utilisées via la fédération avec AWS (configuration par défaut d'AMS), vous devez installer un outil de gestion des informations d'identification qui peut accéder à votre service de fédération. Par exemple, vous pouvez utiliser ce blog de sécurité AWS consacré à la mise en œuvre d'un accès fédéré aux API et CLI à l'aide de SAML 2.0 et d'AD FS pour vous aider à configurer vos outils de gestion des informations d'identification.
4. Après l'installation, lancez aws amscm help et consultez aws amsskms help les commandes et les options.
Téléchargez le script SAML requis

Téléchargez vers c:\aws\scripts
Télécharger PIP

Téléchargez vers c:\aws\downloads
Utilisation PowerShell, installation de PIP

<pythondir>. \ python.exe c:\aws\downloads\get -pip.py
Utilisation PowerShell et installation du module boto

boto d'<pythondir \ scripts> installation pip
Utilisation PowerShell du module de demandes d'installation

demandes d'<pythondir \ scripts> installation pip
Utilisation PowerShell et installation du module de sécurité des demandes

<pythondir \ scripts>requêtes d'installation pip [sécurité]
Utilisation PowerShell et installation du module Beautifulsoup

<pythondir \ scripts>pip install beautifulsoup4
En utilisant PowerShell, créez un dossier appelé .aws dans le profil de l'utilisateur (%userprofile% \ .aws)

mkdir .aws
À l'aide de PowerShell, créez un fichier d'identification dans le dossier .aws

Informations d'identification du nouvel article : fichier de type —force

Le fichier d'informations d'identification ne doit pas avoir d'extension de fichier

Le nom du fichier doit être entièrement en minuscules et contenir les informations d'identification du nom.
Ouvrez le fichier d'informations d'identification avec le bloc-notes et collez les données suivantes en spécifiant la bonne région
```
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =                    
```
Utilisation PowerShell du script SAML et de l'ouverture de session

<pythondir>. \ python.exe c:\aws\scripts\samlapi.py

Nom d'utilisateur : [USERNAME] @upn

Choisissez le rôle que vous souhaitez assumer

Configuration de Linux

Les informations d'identification générées seront valides pendant 1 heure.

À l'aide de WinSCP, transférez le script SAML
À l'aide de WinSCP, transférez le certificat Root CA (ignorez-le pour le test et le développement)
Ajoutez l'autorité de certification ROOT aux certificats racines sécurisés (à ignorer pour le test et le développement)

$ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignorer pour le test et le développement)

Ajoutez le contenu de certificate.pem à la fin du fichier/etc/ssl/certs/ca-bundle.crt (à ignorer pour le test de développement)

Créez un dossier .aws dans home/ec2-user 5



[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

À l'aide de WinSCP, transférez le fichier d'informations d'identification dans le dossier .aws
Installer le module de démarrage

$ sudo pip install boot
Module de demandes d'installation

Demandes d'installation de $ sudo pip
Installer le module beautifulsoup

$ sudo pip installer beautifulsoup4
Copiez le script dans home/ec2-user

Définissez les autorisations requises

Exécutez le script : samlapi.py

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Restreindre les autorisations avec les profils d'instance Amazon EC2 IAM

Restreindre avec l'ACL réseau