Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Regola di attestazione AD FS e impostazioni SAML
ActiveDirectory Regola di reclamo Federation Services (AD FS) e impostazioni SAML per AWS Managed Services (AMS)
Per step-by-step istruzioni dettagliate su come installare e configurare ADFS, consulta [Enabling Federation to AWS Using Windows Active Directory, ADFS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/).
## Configurazioni delle regole di rivendicazione ADFS
Se disponi già di un'implementazione ADFS, configura quanto segue:
+ Affidarsi alla fiducia delle parti
+ Regole sui reclami
Le procedure relative alla fiducia e ai reclami dei relying party sono tratte dal blog [Enabling Federation to AWS Using Windows Active Directory, AD FS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ Regole relative ai reclami:
+ **Nameid**: configurazione per post del blog
+ **RoleSessionName**: Configura come segue
+ **Nome della regola di rivendicazione**: **RoleSessionName**
+ **Archivio attributi**: **Active Directory**
+ **Attributo LDAP**: **SAM-Account-Name**
+ Tipo di **reclamo in uscita**: **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
+ **Get AD Groups**: configurazione per [post sul blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ **Richiesta di ruolo**: configura come segue
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
```
```
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
```
## Console Web
Puoi accedere alla console Web AWS utilizzando il link seguente sostituendolo *[ADFS-FQDN]* con il nome di dominio completo della tua implementazione ADFS.
https://.aspx *[ADFS-FQDN]* adfs/ls/IdpInitiatedSignOn
Il reparto IT può distribuire il link sopra riportato alla popolazione di utenti tramite una politica di gruppo.
## Accesso a API e CLI con SAML
Come configurare l'accesso alle API e alla CLI con SAML.
I pacchetti python provengono dai seguenti post del blog:
+ NTLM: [come implementare API federate e accesso CLI utilizzando SAML](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) 2.0 e AD FS
+ Moduli: [come implementare una soluzione generale per l'accesso API/CLI federato utilizzando SAML](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/) 2.0
+ PowerShell: [Come configurare l'accesso alle API federate ad AWS utilizzando Windows PowerShell](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/)
### Configurazione degli script
1. Utilizzando Notepad\$1\$1, modifica la regione predefinita nella regione corretta
1. Utilizzando Notepad\$1\$1, disabilita la verifica SSL per gli ambienti di test e sviluppo
1. Utilizzando Notepad\$1\$1, configura idpentryurl
`https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`
### Configurazione di Windows
Le istruzioni seguenti riguardano i pacchetti python. Le credenziali generate saranno valide per 1 ora.
1. [Scarica e installa python (2.7.11)](https://www.python.org/downloads/)
1. [Scarica e installa gli strumenti dell'interfaccia a riga di comando di AWS](https://aws.amazon.com/cli/)
1. Installa l'AMS CLI:
1. Scarica il file zip AMS distribuibile fornito dal tuo cloud service delivery manager (CSDM) e decomprimilo.
Sono disponibili diverse directory e file.
1. Apri la directory **Managed Cloud Distributables -> CLI ->** Windows o **la directory Managed Cloud Distributables -> CLI -> Linux** /macOS, a seconda del sistema operativo in uso, e:
Per **Windows**, esegui il programma di installazione appropriato (questo metodo funziona solo su sistemi Windows a 32 o 64 bit):
+ 32 bit: API\$1x86.msi ManagedCloud
+ 64 bit: API\$1x64.msi ManagedCloud
**Per **Mac/Linux**, esegui il file denominato: MC\$1CLI.sh.** Puoi farlo eseguendo questo comando:. `sh MC_CLI.sh` **Nota che le directory **amscm** e **amsskms** e il loro contenuto devono trovarsi nella stessa directory del file MC\$1CLI.sh.**
1. Se le credenziali aziendali vengono utilizzate tramite federazione con AWS (la configurazione predefinita di AMS), è necessario installare uno strumento di gestione delle credenziali in grado di accedere al servizio di federazione. Ad esempio, puoi utilizzare questo AWS Security Blog [How to Implementation Federated API and CLI Access Using SAML 2.0 e AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS per aiutarti a configurare i tuoi strumenti di gestione delle credenziali.
1. Dopo l'installazione, esegui e visualizza i comandi `aws amscm help` e le opzioni`aws amsskms help`.
1. Scarica lo script SAML richiesto
Scarica in c:\$1aws\$1scripts
1. [Scarica PIP](https://bootstrap.pypa.io/get-pip.py)
Scarica in c:\$1aws\$1downloads
1. Utilizzando PowerShell, installa PIP
. \$1 python.exe c:\$1aws\$1downloads\$1get -pip.py
1. Utilizzando PowerShell, installa il modulo di avvio
Usare, installare il modulo boto ----sep----pip install boto
1. Utilizzo del modulo di PowerShell richiesta di installazione
Utilizzo, installa il modulo ----sep----pip install requests
1. Utilizzo del PowerShell modulo di sicurezza delle richieste di installazione
Utilizzo, installa il modulo di sicurezza ----sep----pip install requests [sicurezza]
1. Usando PowerShell, installa il modulo beautifulsoup
Usando, installa il modulo beautifulsoup ----sep----pip install beautifulsoup4
1. Utilizzando PowerShell, crea una cartella chiamata .aws nel profilo degli utenti (%userprofile%\$1 .aws)
mkdir .aws
1. Utilizzando PowerShell, crea un file di credenziali nella cartella.aws
Credenziali New-Item -type file —force
Il file delle credenziali non deve avere un'estensione
Il nome del file deve essere tutto minuscolo e avere le credenziali del nome
1. Apri il file delle credenziali con il blocco note e incolla i seguenti dati, specificando la regione corretta
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Utilizzo dello script PowerShell SAML e dell'accesso
. \$1 python.exe c:\$1aws\$1scripts\$1samlapi.py
NOME UTENTE: [NOME UTENTE] @upn
Scegli il ruolo che vorresti assumere
### Configurazione Linux
Le credenziali generate saranno valide per 1 ora.
1. Utilizzando WinSCP, trasferisci lo script SAML
1. Utilizzando WinSCP, trasferisci il certificato Root CA (ignoralo per test e sviluppo)
1. Aggiungi la CA ROOT ai certificati root affidabili (ignora per test e sviluppo)
\$1 openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignora per test e sviluppo)
Aggiungi il contenuto di certificate.pem alla fine del file/-bundle.crt (ignora per test dev) etc/ssl/certs/ca
1. Crea la cartella.aws in home/ec2-user 5
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Utilizzando WinSCP, trasferisci il file delle credenziali nella cartella.aws
1. Installa il modulo di avvio
\$1 sudo pip installa boto
1. Modulo di richieste di installazione
Richieste di installazione di \$1 sudo pip
1. Installa il modulo beautifulsoup
\$1 sudo pip installa beautifulsoup4
1. Copia lo script in home/ec2-user
Imposta le autorizzazioni richieste
Esegui lo script: samlapi.py