Menerapkan otentikasi SAMP 2.0 untuk Amazon WorkSpaces dengan menggunakan Auth0 dan AWS Managed Microsoft AD - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikPemecahan MasalahSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerapkan otentikasi SAMP 2.0 untuk Amazon WorkSpaces dengan menggunakan Auth0 dan AWS Managed Microsoft AD

Siva Vinnakota dan Shantanu Padhye, Amazon Web Services

Ringkasan

Pola ini mengeksplorasi bagaimana Anda dapat mengintegrasikan Auth0 AWS Directory Service for Microsoft Active Directory untuk membuat solusi otentikasi SAMP 2.0 yang kuat untuk lingkungan Amazon Anda. WorkSpaces Ini menjelaskan cara membangun federasi di antara ini Layanan AWS untuk mengaktifkan fitur-fitur canggih seperti otentikasi multi-faktor (MFA) dan alur login khusus sambil mempertahankan akses desktop yang mulus. AWS Managed Microsoft AD Baik Anda mengelola hanya segelintir pengguna atau ribuan, integrasi ini membantu memberikan fleksibilitas dan keamanan bagi organisasi Anda. Pola ini menyediakan langkah-langkah untuk proses penyiapan sehingga Anda dapat menerapkan solusi ini di lingkungan Anda sendiri.

Prasyarat dan batasan

Prasyarat

  • Aktif Akun AWS

  • AWS Managed Microsoft AD

  • Desktop yang disediakan di Amazon WorkSpaces Personal yang terkait dengan AWS Managed Microsoft AD

  • Instans Amazon Elastic Compute Cloud (Amazon EC2)

  • Akun Auth0

Batasan

Beberapa Layanan AWS tidak tersedia di semua Wilayah AWS. Untuk ketersediaan Wilayah, lihat Layanan AWS berdasarkan Wilayah. Untuk titik akhir tertentu, lihat halaman titik akhir dan kuota Layanan, dan pilih tautan untuk layanan.

Arsitektur

Proses otentikasi SAMP 2.0 untuk aplikasi WorkSpaces klien terdiri dari lima langkah yang diilustrasikan dalam diagram berikut. Langkah-langkah ini mewakili alur kerja tipikal untuk masuk. Anda dapat menggunakan pendekatan terdistribusi ini untuk otentikasi setelah Anda mengikuti petunjuk dalam pola ini, untuk membantu menyediakan metode terstruktur dan aman untuk akses pengguna.

Alur kerja untuk proses otentikasi SAMP 2.0 untuk aplikasi klien. WorkSpaces

Alur kerja:

  1. Pendaftaran. Pengguna meluncurkan aplikasi klien untuk WorkSpaces dan memasukkan kode WorkSpaces registrasi untuk direktori berkemampuan SAML WorkSpaces mereka. WorkSpaces mengembalikan URL penyedia identitas Auth0 (iDP) ke aplikasi klien.

  2. Masuk. WorkSpaces Klien mengalihkan ke browser web pengguna dengan menggunakan URL Auth0.  Pengguna mengautentikasi dengan nama pengguna dan kata sandi mereka. Auth0 mengembalikan pernyataan SAMP ke browser klien. Pernyataan SAMP adalah token terenkripsi yang menegaskan identitas pengguna.

  3. Otentikasi. Browser klien memposting pernyataan SAMP ke AWS Sign-In titik akhir untuk memvalidasinya. AWS Sign-In memungkinkan penelepon untuk mengambil peran AWS Identity and Access Management (IAM). Ini mengembalikan token yang berisi kredensi sementara untuk peran IAM.

  4. WorkSpaces masuk. WorkSpaces Klien menyajikan token ke titik akhir WorkSpaces layanan. WorkSpaces menukar token untuk token sesi dan mengembalikan token sesi ke WorkSpaces klien dengan URL login. Saat WorkSpaces klien memuat halaman login. nilai nama pengguna diisi oleh NameId nilai yang diteruskan dalam respons SAMP.

  5. Streaming. Pengguna memasukkan kata sandi mereka dan mengautentikasi terhadap WorkSpaces direktori. Setelah otentikasi, WorkSpaces mengembalikan token ke klien. Klien mengalihkan kembali ke WorkSpaces layanan dan menyajikan token. Ini menengahi sesi streaming antara WorkSpaces klien dan WorkSpace.

catatan

Untuk menyiapkan pengalaman masuk tunggal tanpa batas yang tidak memerlukan prompt kata sandi, lihat otentikasi berbasis Sertifikat dan Pribadi dalam dokumentasi. WorkSpaces WorkSpaces

Alat

Layanan AWS

  • Amazon WorkSpaces adalah layanan infrastruktur desktop virtual (VDI) yang dikelola sepenuhnya yang menyediakan desktop berbasis cloud kepada pengguna tanpa harus mendapatkan dan menyebarkan perangkat keras atau menginstal perangkat lunak yang kompleks.

  • AWS Directory Service for Microsoft Active Directorymemungkinkan beban kerja dan sumber daya yang sadar direktori Anda AWS untuk menggunakan Microsoft Active Directory di file. AWS Cloud

Alat lainnya

  • Auth0 adalah platform otentikasi dan otorisasi yang membantu Anda mengelola akses ke aplikasi Anda.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Instal konektor LDAP Active Directory di Auth0 dengan. AWS Managed Microsoft AD

  1. Masuk ke dashboard Auth0 dan pilih Authentication, Enterprise, Active Directory/LDAP. Pilih Buat koneksi.

  2. Berikan nama untuk koneksi Active Directory Anda, lalu pilih Buat.

  3. Pada tab Pengaturan, unduh agen untuk sistem operasi Anda.

    Ketika instalasi selesai, browser default Anda menampilkan prompt untuk URL tiket.

  4. Masukkan URL tiket penyediaan, yang harus unik untuk string koneksi Anda, lalu pilih Lanjutkan.

  5. Di kotak dialog Konfigurasi LDAP AD, untuk Nama Pengguna dan Kata Sandi, masukkan kredensi administrator Anda, lalu pilih Simpan.

    Ketika koneksi ke Auth0 telah dibuat, log konfigurasi ditampilkan dengan status pelaporan OK untuk semua pemeriksaan.

Administrator cloud, arsitek Cloud

Buat aplikasi di Auth0 untuk menghasilkan file manifes metadata SAMP.

  1. Masuk ke dashboard Auth0 dan buat aplikasi baru dengan mengikuti petunjuk dalam dokumentasi Auth0.

  2. Di dasbor Auth0, pilih nama aplikasi untuk mengakses pengaturan konfigurasinya. Pada AddOnstab, pilih Aplikasi SAML2 Web.

  3. Pada tab Pengaturan untuk add-on, untuk URL Panggilan Balik Aplikasi, masukkan https://signin.aws.amazon.com /saml. Di sinilah token SAMP akan mengirim POST permintaan.

  4. Pada tab Pengaturan, di kotak Pengaturan, tempel kode konfigurasi SAMP berikut dalam format JSON:

    {
  "audience": "https://signin.aws.amazon.com/saml",
  "mappings": {
    "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sAMAccountName",
    "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  },
  "createUpnClaim": false,
  "passthroughClaimsWithNoMapping": false,
  "mapUnknownClaimsAsIs": false,
  "mapIdentities": false,
  "nameIdentifierFormat": "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent",
  "nameIdentifierProbes": [
    "http://schemas.auth0.com/sAMAccountName"
  ]
}

  5. Simpan, lalu pilih Aktifkan.

  6. Pilih tab Penggunaan, dan unduh file manifes metadata untuk penyedia identitas. Informasi ini diperlukan untuk langkah selanjutnya.

  7. Tutup jendela Aplikasi SAML2 Web.

  8. Pada layar aplikasi, pilih Koneksi. Di bawah Enterprise, pilih Directory/LDAP konektor Aktif yang benar dan aktifkan.

Administrator cloud, arsitek Cloud
TugasDeskripsiKeterampilan yang dibutuhkan

Buat SAMP 2.0 iDP di IAM.

Untuk mengatur SAMP 2.0 sebagai iDP, ikuti langkah-langkah yang diuraikan dalam Buat penyedia identitas SAMP di IAM dalam dokumentasi IAM.

Administrator awan

Buat peran dan kebijakan IAM untuk federasi SAMP 2.0.

  1. Buat peran IAM untuk federasi SAMP 2.0. Untuk petunjuk, lihat langkah 2 dalam instruksi untuk menyiapkan SAMP 2.0 untuk WorkSpaces Pribadi dalam WorkSpaces dokumentasi.

  2. Buat kebijakan IAM dan kaitkan dengan peran yang Anda buat di langkah sebelumnya. Untuk petunjuk, lihat langkah 3 dalam petunjuk untuk menyiapkan SAMP 2.0 untuk WorkSpaces Pribadi dalam WorkSpaces dokumentasi.

Administrator awan
TugasDeskripsiKeterampilan yang dibutuhkan

Konfigurasikan pernyataan Auth0 dan SAMP.

Anda dapat menggunakan tindakan Auth0 untuk mengonfigurasi pernyataan dalam respons SAMP 2.0. Pernyataan SAMP adalah token terenkripsi yang menegaskan identitas pengguna.

  1. Masuk ke dasbor Auth0. Pilih Actions, Library, Create Action, Build dari awal.

  2. Berikan nilai-nilai berikut dan kemudian pilih Buat.

    Nama: Tentukan nama untuk tindakan

    Pemicu: Pilih Login/Post Login

    Runtime: Pilih Node 18

  3. Pada layar berikutnya, masukkan kode berikut:

    exports.onExecutePostLogin = async (event, api) => 
{   if (event.client.name === "Workspace_Saml")
   {     const awsRole = 'arn:aws:iam::030784294031:role/Workspace_Auth0,arn:aws:iam::030784294031:saml-provider/Auth0';
     const awsRoleSession = event.user.sAMAccountName;
     const email = event.user.emails[0];
     api.samlResponse.setDestination('https://signin.aws.amazon.com/saml');
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/Role', awsRole)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/RoleSessionName', awsRoleSession)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email', email)
   } return;
};

  4. Pilih Deploy.

Ini melengkapi pengaturan otentikasi SAMP 2.0 untuk WorkSpaces desktop Pribadi. Bagian Arsitektur menggambarkan proses otentikasi setelah penyiapan.

Administrator awan

Pemecahan Masalah

IsuSolusi

Masalah otentikasi SAMP 2.0 di WorkSpaces

Jika Anda mengalami masalah saat menerapkan otentikasi SAMP 2.0 untuk WorkSpaces Personal, ikuti langkah-langkah dan tautan yang diuraikan dalam artikel AWS RE:Post tentang pemecahan masalah otentikasi SAMP 2.0.

Untuk informasi tambahan tentang menyelidiki kesalahan SAMP 2.0 saat mengakses WorkSpaces, lihat:

Sumber daya terkait