As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a federação no console AMS (SALZ)
As funções do IAM e o provedor de identidade SAML (entidade confiável) detalhados na tabela a seguir foram provisionados como parte da integração da sua conta. Essas funções permitem que você envie e monitore RFCs solicitações de serviço e relatórios de incidentes, além de obter informações sobre suas VPCs pilhas de anúncios.
| Role (Função) | Provedor de identidades | Permissões |
|---|---|---|
Customer_ _Função ReadOnly |
SAML |
Para contas AMS padrão. Permite que você envie RFCs para fazer alterações na infraestrutura gerenciada pelo AMS, bem como crie solicitações de serviço e incidentes. |
customer_managed_ad_user_role |
SAML |
Para contas do AMS Managed Active Directory. Permite que você faça login no console do AMS para criar solicitações e incidentes de serviço (não RFCs). |
Para obter a lista completa das funções disponíveis em diferentes contas, consulteFunção de usuário do IAM no AMS .
Um membro da equipe de integração carrega o arquivo de metadados da sua solução de federação para o provedor de identidade pré-configurado. Você usa um provedor de identidade SAML quando deseja estabelecer confiança entre um IdP (provedor de identidade) compatível com SAML, como Shibboleth ou Active Directory Federation Services, para que os usuários da sua organização possam acessar os recursos da AWS. Os provedores de identidade SAML no IAM são usados como principais em uma política de confiança do IAM com as funções acima.
Enquanto outras soluções de federação fornecem instruções de integração para a AWS, o AMS tem instruções separadas. O uso da postagem do blog a seguir, Habilitando a federação na AWS usando o Windows Active Directory, AD FS e SAML 2.0
Depois de criar a confiança da parte confiável de acordo com a postagem do blog, configure as regras de reivindicações da seguinte maneira:
NameId: Siga a postagem do blog.
RoleSessionName: Use os seguintes valores:
Nome da regra de reivindicação: RoleSessionName
Armazenamento de atributos: Active Directory
Atributo LDAP: SAM-Account-Name
Tipo de reclamação de saída: https://aws.amazon.com/SAML/ Atributos/ RoleSessionName
Obtenha grupos do AD: siga a postagem do blog.
Reivindicação de função: siga a postagem do blog, mas para a regra personalizada, use o seguinte:
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
Ao usar o AD FS, você deve criar grupos de segurança do Active Directory para cada função no formato mostrado na tabela a seguir (customer_managed_ad_user_role é somente para contas AD gerenciadas pelo AMS):
| Grupo | Role (Função) |
|---|---|
AWS- [AccountNo] ReadOnly -Cliente_ _Função |
Customer_ _Função ReadOnly |
AWS- [AccountNo] -customer_managed_ad_user_role |
customer_managed_ad_user_role |
Para obter mais informações, consulte Configurando asserções SAML para a resposta de autenticação.
dica
Para ajudar na solução de problemas, baixe o plug-in rastreador SAML para seu navegador.
