Come funziona l'integrazione tra AD FS e AMS - Guida per l'utente avanzato di AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona l'integrazione tra AD FS e AMS

Un trust unidirezionale tra la rete locale e il dominio AMS è il mezzo predefinito per l'accesso agli stack e. VPCs Quando vengono creati un VPC e uno stack, l'accesso viene concesso tramite gruppi di sicurezza Active Directory preconfigurati. Inoltre, l'accesso a Console di gestione AWS può essere configurato utilizzando Active Directory Federation Service (AD FS) o qualsiasi software di federazione che supporti SAML, per un single sign-on (SSO) alla console di gestione. AWS

Nota

AMS può eseguire la federazione a molti servizi federativi, tra cui Ping, Okta e così via. Non sei limitato ad AD FS; forniamo qui un esempio di una tecnologia di federazione a tua disposizione.

Le informazioni riportate qui sono duplicate da questo post di blog: Enabling Federation to AWS Using Windows Active Directory, AD FS e SAML 2.0.

Esistono diversi passaggi per l'autenticazione sicura all'interno dell'azienda e tra l'azienda e il AWS cloud.

  1. Il flusso viene avviato quando un utente (chiamiamolo Bob) accede al sito di esempio AD FS (https://Fully.Qualified.Domain.Name). Here/adfs/ls/IdpInitiatedSignOn.aspx) all'interno del suo dominio. Quando installi ADFS, ottieni una nuova directory virtuale denominata adfs per il tuo sito Web predefinito, che include questa pagina.

  2. La pagina di accesso autentica Bob rispetto ad AD. A seconda del browser utilizzato da Bob, è possibile che gli venga richiesto di inserire il nome utente e la password di AD.

  3. Il browser di Bob riceve un'asserzione SAML sotto forma di risposta di autenticazione da AD FS.

  4. Il browser di Bob pubblica l'asserzione SAML nell'endpoint di AWS accesso per SAML (/saml). https://signin.aws.amazon.com Dietro le quinte, l'accesso utilizza l'API AssumeRoleWithSAML per richiedere credenziali di sicurezza temporanee e quindi crea un URL di accesso per. Console di gestione AWS

  5. Il browser di Bob riceve l'URL di accesso e viene reindirizzato alla console.

Dal punto di vista di Bob, il processo avviene in modo trasparente. Inizia su un sito Web interno e finisce su Console di gestione AWS, senza mai dover fornire alcuna AWS credenziale.

Nota

Ulteriori informazioni sulla configurazione della federazione sulla console AMS sono disponibili in:

Inoltre, consulta l'Appendice: Regola di reclamo AD FS e impostazioni SAML. Per informazioni sull'utilizzo di AWS Microsoft AD per supportare le applicazioni compatibili con Active Directory, nel AWS cloud, soggette a requisiti di conformità, vedi Manage Microsoft AD Compliance.