翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AD FS クレームルールと SAML 設定
AWS マネージドサービス (AMS) の ActiveDirectory フェデレーションサービス (AD FS) クレームルールと SAML 設定 AWS Managed Services
AD FS をインストールして設定する方法のstep-by-stepについては、「Windows Active Directory、ADFS、および SAML 2.0 を使用した AWS へのフェデレーションの有効化
ADFS クレームルールの設定
ADFS 実装が既にある場合は、以下を設定します。
信頼する相手の信頼
クレームルール
証明書利用者の信頼とクレームのルールステップは、Windows Active Directory、AD FS、および SAML 2.0 ブログを使用して AWS へのフェデレーションを有効にするから実行します。
クレームルール:
Nameid: ブログ投稿ごとの設定
RoleSessionName: 次のように設定します
クレームルール名:
RoleSessionName属性ストア:
Active DirectoryLDAP 属性:
SAM-Account-Name送信クレームタイプ:
https://aws.amazon.com/SAML/Attributes/RoleSessionNameAD グループの取得: ブログ投稿
ごとの設定 ロールクレーム: 次のように を設定します。
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
ウェブコンソール
〔ADFS-FQDN] を ADFS 実装の FQDN に置き換えることで、AWS ウェブコンソールにアクセスできます。
https://[ADFS-FQDN]/adfs/ls/IdpInitiatedSignOn.aspx
IT 部門は、グループポリシーを介して上記のリンクをユーザー母集団にデプロイできます。
SAML による API および CLI アクセス
SAML を使用して API および CLI アクセスを設定する方法。
Python パッケージは、以下のブログ記事から入手できます。
スクリプト設定
Notepad++ を使用して、デフォルトのリージョンを正しいリージョンに変更する
Notepad++ を使用して、テスト環境と開発環境の SSL 検証を無効にする
Notepad++ を使用して idpentryurl を設定する
https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices
Windows 設定
以下に、Python パッケージの手順を示します。生成された認証情報は 1 時間有効です。
AMS CLI をインストールします。
Cloud Service Delivery Manager (CSDM) が提供する AMS ディストリビューション zip ファイルをダウンロードして解凍します。
いくつかのディレクトリとファイルが利用可能になりました。
オペレーティングシステムに応じて、 Managed Cloud Distributables -> CLI -> Windows または Managed Cloud Distributables -> CLI -> Linux / MacOS ディレクトリを開きます。
Windows の場合は、適切なインストーラを実行します (この方法は Windows 32 または 64 ビットシステムでのみ機能します)。
32 ビット: ManagedCloudAPI_x86.msi
64 ビット: ManagedCloudAPI_x64.msi
Mac/Linux の場合は、MC_CLI.sh という名前のファイルを実行します。これを行うには、次のコマンドを実行します:
sh MC_CLI.sh。amscm および amsskms ディレクトリとその内容は、MC_CLI.sh ファイルと同じディレクトリにある必要があることに注意してください。企業の認証情報を AWS とのフェデレーション (AMS デフォルト設定) 経由で使用する場合は、フェデレーションサービスにアクセスできる認証情報管理ツールをインストールする必要があります。例えば、この AWS セキュリティブログ How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
を使用して、認証情報管理ツールの設定に役立てることができます。 インストール後、
aws amscm helpとaws amsskms helpを実行してコマンドとオプションを表示します。
必要な SAML スクリプトをダウンロードする
c:\aws\scripts にダウンロードする
-
c:\aws\downloads にダウンロードする
PowerShell を使用して PIP をインストールする
<pythondir>.\python.exe c:\aws\downloads\get-pip.py
PowerShell を使用して boto モジュールをインストールする
<pythondir\scripts>pip install boto
PowerShell を使用してリクエストモジュールをインストールする
<pythondir\scripts>pip インストールリクエスト
PowerShell を使用してリクエストセキュリティモジュールをインストールする
<pythondir\scripts>pip インストールリクエスト〔セキュリティ〕
PowerShell を使用して beautifulsoup モジュールをインストールする
<pythondir\scripts>pip install beautifulsoup4
PowerShell を使用して、ユーザープロファイルに .aws というフォルダを作成します (%userprofile%\.aws)。
mkdir .aws
PowerShell を使用して、.aws フォルダに認証情報ファイルを作成します。
New-Item 認証情報 - タイプファイル –force
認証情報ファイルにはファイル拡張子を付けることはできません
ファイル名はすべて小文字で、名前認証情報が必要です
メモ帳を使用して認証情報ファイルを開き、正しいリージョンを指定して次のデータに貼り付けます。
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =PowerShell を使用した SAML スクリプトとログオン
<pythondir>.\python.exe c:\aws\scripts\samlapi.py
ユーザー名: [USERNAME]@upn
引き受けるロールを選択する
Linux 設定
生成された認証情報は 1 時間有効です。
WinSCP を使用して SAML スクリプトを転送する
WinSCP を使用してルート CA 証明書を転送する (テストと開発には無視)
信頼できるルート証明書に ROOT CA を追加する (テストと開発には無視)
$ openssl x509 -inform der -in [certname].cer -out certificate.pem (テストと開発には無視)
certificate.pem の内容を /etc/ssl/certs/ca-bundle.crt ファイルの末尾に追加する ((テスト開発では無視)
home/ec2-user 5 に .aws フォルダを作成する
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =WinSCP を使用して認証情報ファイルを .aws フォルダに転送する
boto モジュールをインストールする
$ sudo pip install boto
リクエストモジュールをインストールする
$ sudo pip インストールリクエスト
beautifulsoup モジュールをインストールする
$ sudo pip install beautifulsoup4
スクリプトを home/ec2-user にコピーする
必要なアクセス許可を設定する
スクリプトを実行する: samlapi.py
