Configurazione della federazione sulla console AMS (SALZ) - Guida avanzata all'onboarding AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della federazione sulla console AMS (SALZ)

I ruoli IAM e il provider di identità SAML (Trusted Entity) descritti nella tabella seguente sono stati forniti come parte dell'onboarding dell'account. Questi ruoli ti consentono di inviare e monitorare RFCs richieste di assistenza e segnalazioni di incidenti, nonché di ottenere informazioni sui tuoi stack e sugli stack. VPCs

Ruolo Provider di identità Autorizzazioni

Cliente_ _Ruolo ReadOnly

SAML

Per account AMS standard. Consente di inviare o apportare modifiche RFCs all'infrastruttura gestita da AMS, nonché di creare richieste di servizio e incidenti.

customer_managed_ad_user_role

SAML

Per gli account AMS Managed Active Directory. Consente di accedere alla console AMS per creare richieste di servizio e incidenti (no RFCs).

Per l'elenco completo dei ruoli disponibili con diversi account, consultaRuolo utente IAM in AMS .

Un membro del team di onboarding carica il file di metadati dalla soluzione di federazione al provider di identità preconfigurato. Utilizzi un provider di identità SAML quando desideri stabilire un rapporto di fiducia tra un IdP (provider di identità) compatibile con SAML come Shibboleth o Active Directory Federation Services, in modo che gli utenti della tua organizzazione possano accedere alle risorse AWS. I provider di identità SAML in IAM vengono utilizzati come principali in una policy di fiducia IAM con i ruoli sopra indicati.

Mentre altre soluzioni di federazione forniscono istruzioni di integrazione per AWS, AMS fornisce istruzioni separate. Utilizzando il seguente post di blog, Enabling Federation to AWS Using Windows Active Directory, AD FS e SAML 2.0, insieme alle modifiche riportate di seguito, consentirai agli utenti aziendali di accedere a più account AWS da un unico browser.

Dopo aver creato il relying party trust come indicato nel post del blog, configura le regole relative ai reclami nel modo seguente:

  • NameId: Segui il post del blog.

  • RoleSessionName: Utilizza i seguenti valori:

    • Nome della regola di rivendicazione: RoleSessionName

    • Archivio attributi: Active Directory

    • Attributo LDAP: SAM-Account-Name

    • Tipo di reclamo in uscita: Attributi/ https://aws.amazon.com/SAML/ RoleSessionName

  • Ottieni gruppi di annunci: segui il post del blog.

  • Dichiarazione di ruolo: segui il post del blog, ma per la regola personalizzata, usa questo:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
 => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
 "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Quando utilizzi AD FS, devi creare gruppi di sicurezza Active Directory per ogni ruolo nel formato mostrato nella tabella seguente (customer_managed_ad_user_role è solo per gli account AMS Managed AD):

Group (Gruppo) Ruolo

AWS- [AccountNo] ReadOnly -Customer_ _Ruolo

Cliente_ _Ruolo ReadOnly

AWS- [AccountNo] -customer_managed_ad_user_role

customer_managed_ad_user_role

Per ulteriori informazioni, consulta Configurazione delle asserzioni SAML per la risposta di autenticazione.

Suggerimento

Per facilitare la risoluzione dei problemi, scarica il plug-in SAML tracer per il tuo browser.