Regola di attestazione AD FS e impostazioni SAML - Guida per l'utente avanzato di AMS
Configurazioni delle regole di rivendicazione ADFSConsole WebAccesso a API e CLI con SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regola di attestazione AD FS e impostazioni SAML

ActiveDirectory Regola di reclamo Federation Services (AD FS) e impostazioni SAML per AWS Managed Services (AMS)

Per step-by-step istruzioni dettagliate su come installare e configurare ADFS, consulta Enabling Federation to AWS Using Windows Active Directory, ADFS e SAML 2.0.

Configurazioni delle regole di rivendicazione ADFS

Se disponi già di un'implementazione ADFS, configura quanto segue:

  • Affidarsi alla fiducia delle parti

  • Regole sui reclami

Le procedure relative alla fiducia e ai reclami dei relying party sono tratte dal blog Enabling Federation to AWS Using Windows Active Directory, AD FS e SAML 2.0

  • Regole relative ai reclami:

    • Nameid: configurazione per post del blog

    • RoleSessionName: Configura come segue

      • Nome della regola di rivendicazione: RoleSessionName

      • Archivio attributi: Active Directory

      • Attributo LDAP: SAM-Account-Name

      • Tipo di reclamo in uscita: https://aws.amazon.com/SAML/Attributes/RoleSessionName

      • Get AD Groups: configurazione per post sul blog

      • Richiesta di ruolo: configura come segue

        
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]

        
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Console Web

Puoi accedere alla console Web AWS utilizzando il link seguente sostituendolo [ADFS-FQDN] con il nome di dominio completo della tua implementazione ADFS.

https://.aspx [ADFS-FQDN] adfs/ls/IdpInitiatedSignOn

Il reparto IT può distribuire il link sopra riportato alla popolazione di utenti tramite una politica di gruppo.

Accesso a API e CLI con SAML

Come configurare l'accesso alle API e alla CLI con SAML.

I pacchetti python provengono dai seguenti post del blog:

Configurazione degli script

  1. Utilizzando Notepad++, modifica la regione predefinita nella regione corretta

  2. Utilizzando Notepad++, disabilita la verifica SSL per gli ambienti di test e sviluppo

  3. Utilizzando Notepad++, configura idpentryurl

    https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices

Configurazione di Windows

Le istruzioni seguenti riguardano i pacchetti python. Le credenziali generate saranno valide per 1 ora.

  1. Scarica e installa python (2.7.11)

  2. Scarica e installa gli strumenti dell'interfaccia a riga di comando di AWS

  3. Installa l'AMS CLI:

    1. Scarica il file zip AMS distribuibile fornito dal tuo cloud service delivery manager (CSDM) e decomprimilo.

      Sono disponibili diverse directory e file.

    2. Apri la directory Managed Cloud Distributables -> CLI -> Windows o la directory Managed Cloud Distributables -> CLI -> Linux /macOS, a seconda del sistema operativo in uso, e:

      Per Windows, esegui il programma di installazione appropriato (questo metodo funziona solo su sistemi Windows a 32 o 64 bit):

      • 32 bit: API_x86.msi ManagedCloud

      • 64 bit: API_x64.msi ManagedCloud

      Per Mac/Linux, esegui il file denominato: MC_CLI.sh. Puoi farlo eseguendo questo comando:. sh MC_CLI.sh Nota che le directory amscm e amsskms e il loro contenuto devono trovarsi nella stessa directory del file MC_CLI.sh.

    3. Se le credenziali aziendali vengono utilizzate tramite federazione con AWS (la configurazione predefinita di AMS), è necessario installare uno strumento di gestione delle credenziali in grado di accedere al servizio di federazione. Ad esempio, puoi utilizzare questo AWS Security Blog How to Implementation Federated API and CLI Access Using SAML 2.0 e AD FS per aiutarti a configurare i tuoi strumenti di gestione delle credenziali.

    4. Dopo l'installazione, esegui e visualizza i comandi aws amscm help e le opzioniaws amsskms help.

  4. Scarica lo script SAML richiesto

    Scarica in c:\aws\scripts

  5. Scarica PIP

    Scarica in c:\aws\downloads

  6. Utilizzando PowerShell, installa PIP

    <pythondir>. \ python.exe c:\aws\downloads\get -pip.py

  7. Utilizzando PowerShell, installa il modulo di avvio

    <pythondir\ scripts>Usare, installare il modulo boto ----sep----pip install boto

  8. Utilizzo del modulo di PowerShell richiesta di installazione

    <pythondir\ scripts>Utilizzo, installa il modulo ----sep----pip install requests

  9. Utilizzo del PowerShell modulo di sicurezza delle richieste di installazione

    <pythondir\ scripts>Utilizzo, installa il modulo di sicurezza ----sep----pip install requests [sicurezza]

  10. Usando PowerShell, installa il modulo beautifulsoup

    <pythondir\ scripts>Usando, installa il modulo beautifulsoup ----sep----pip install beautifulsoup4

  11. Utilizzando PowerShell, crea una cartella chiamata .aws nel profilo degli utenti (%userprofile%\ .aws)

    mkdir .aws

  12. Utilizzando PowerShell, crea un file di credenziali nella cartella.aws

    Credenziali New-Item -type file —force

    Il file delle credenziali non deve avere un'estensione

    Il nome del file deve essere tutto minuscolo e avere le credenziali del nome

  13. Apri il file delle credenziali con il blocco note e incolla i seguenti dati, specificando la regione corretta

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  14. Utilizzo dello script PowerShell SAML e dell'accesso

    <pythondir>. \ python.exe c:\aws\scripts\samlapi.py

    NOME UTENTE: [NOME UTENTE] @upn

    Scegli il ruolo che vorresti assumere

Configurazione Linux

Le credenziali generate saranno valide per 1 ora.

  1. Utilizzando WinSCP, trasferisci lo script SAML

  2. Utilizzando WinSCP, trasferisci il certificato Root CA (ignoralo per test e sviluppo)

  3. Aggiungi la CA ROOT ai certificati root affidabili (ignora per test e sviluppo)

    $ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignora per test e sviluppo)

    Aggiungi il contenuto di certificate.pem alla fine del file/-bundle.crt (ignora per test dev) etc/ssl/certs/ca

  4. Crea la cartella.aws in home/ec2-user 5

    
[default]
output = json
region = us-east-1
aws_access_key_id = 
aws_secret_access_key =

  5. Utilizzando WinSCP, trasferisci il file delle credenziali nella cartella.aws

  6. Installa il modulo di avvio

    $ sudo pip installa boto

  7. Modulo di richieste di installazione

    Richieste di installazione di $ sudo pip

  8. Installa il modulo beautifulsoup

    $ sudo pip installa beautifulsoup4

  9. Copia lo script in home/ec2-user

    Imposta le autorizzazioni richieste

    Esegui lo script: samlapi.py