As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Regra de declaração do AD FS e configurações de SAML
ActiveDirectory Regra de declaração do Federation Services (AD FS) e configurações de SAML para AWS Managed Services (AMS)
Para step-by-step obter instruções detalhadas sobre como instalar e configurar o AD FS, consulte Habilitando a federação na AWS usando o Windows Active Directory, o ADFS e o SAML 2.0.
Configurações de regras de declaração do ADFS
Se você já tiver uma implementação do ADFS, configure o seguinte:
Confiança da parte confiável
Regras de reivindicações
As etapas das regras de confiança e reivindicações da parte confiável foram seguidas do blog Habilitar a federação na AWS usando o Windows Active Directory, AD FS e SAML 2.0
Regras de reivindicações:
Nameid: configuração por postagem do blog
RoleSessionName: Configure da seguinte forma
Nome da regra de reivindicação:
RoleSessionNameArmazenamento de atributos:
Active DirectoryAtributo LDAP:
SAM-Account-NameTipo de reclamação de saída:
https://aws.amazon.com/SAML/Attributes/RoleSessionNameObtenha grupos do AD: configuração por postagem do blog
Reivindicação de função: configure da seguinte forma
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
Console web
Você pode acessar o console web da AWS usando o link abaixo, [ADFS-FQDN] substituindo-o pelo FQDN da sua implementação do ADFS.
https://[ADFS-FQDN]/adfs/ls/IdpInitiatedSignOn.aspx
Seu departamento de TI pode implantar o link acima para a população de usuários por meio de uma Política de Grupo.
Acesso à API e CLI com SAML
Como configurar o acesso à API e à CLI com SAML.
Os pacotes python são provenientes das postagens do blog abaixo:
Configuração do script
Usando o Notepad++, altere a região padrão para a região correta
Usando o Notepad++, desative a verificação SSL para ambientes de teste e desenvolvimento
Usando o Notepad++, configure idpentryurl
https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices
Configuração do Windows
As instruções abaixo são para os pacotes python. As credenciais geradas serão válidas por 1 hora.
Instale a CLI do AMS:
Faça o download do arquivo zip dos distribuíveis do AMS fornecido pelo seu gerente de entrega de serviços em nuvem (CSDM) e descompacte.
Vários diretórios e arquivos são disponibilizados.
Abra o diretório Managed Cloud Distributables -> CLI -> Windows ou Managed Cloud Distributables -> CLI -> Linux/macOS, dependendo do seu sistema operacional, e:
Para Windows, execute o instalador apropriado (esse método só funciona em sistemas Windows de 32 ou 64 bits):
32 bits: ManagedCloud API_x86.msi
64 bits: ManagedCloud API_x64.msi
Para Mac/Linux, execute o arquivo chamado: MC_CLI.sh. Você pode fazer isso executando este comando:
sh MC_CLI.sh. Observe que os diretórios amscm e amsskms e seu conteúdo devem estar no mesmo diretório do arquivo MC_CLI.sh.Se suas credenciais corporativas forem usadas via federação com a AWS (a configuração padrão do AMS), você deverá instalar uma ferramenta de gerenciamento de credenciais que possa acessar seu serviço de federação. Por exemplo, você pode usar este blog de segurança da AWS Como implementar API federada e acesso à CLI usando SAML 2.0 e AD
FS para ajudar a configurar suas ferramentas de gerenciamento de credenciais. Após a instalação, execute
aws amscm helpe vejaaws amsskms helpos comandos e opções.
Baixe o script SAML necessário
Faça o download em c:\aws\scripts
-
Faça o download em c:\aws\downloads
Usando PowerShell, instale o PIP
<pythondir>. \ python.exe c:\aws\downloads\get -pip.py
Usando PowerShell, instale o módulo de inicialização
inicialização de<pythondir\ scripts> instalação do pip
Usando PowerShell e instalando o módulo de solicitações
solicitações de<pythondir\ scripts> instalação de pip
Usando PowerShell e instalando o módulo de segurança de solicitações
<pythondir\ scripts>solicitações de instalação do pip [segurança]
Usando PowerShell, instale o módulo beautifulsoup
<pythondir\ scripts>pip install beautifulsoup4
Usando PowerShell, crie uma pasta chamada .aws no perfil do usuário (%userprofile%\ .aws)
mkdir.aws
Usando PowerShell, crie um arquivo de credencial na pasta.aws
Credenciais do novo item - tipo de arquivo —force
O arquivo de credenciais não deve ter uma extensão de arquivo
O nome do arquivo deve estar todo em minúsculas e ter as credenciais do nome
Abra o arquivo de credenciais com o bloco de notas e cole os seguintes dados, especificando a região correta
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =Usando PowerShell o script SAML e o logon
<pythondir>. \ python.exe c:\aws\scripts\samlapi.py
Nome de usuário: [NOME DE USUÁRIO] @upn
Escolha a função que você gostaria de assumir
Configuração Linux
As credenciais geradas serão válidas por 1 hora.
Usando o WinSCP, transfira o script SAML
Usando o WinSCP, transfira o certificado Root CA (ignore para teste e desenvolvimento)
Adicione a CA RAIZ aos certificados raiz confiáveis (ignore para teste e desenvolvimento)
$ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignore para teste e desenvolvimento)
Adicione o conteúdo do certificate.pem ao final do arquivo/etc/ssl/certs/ca-bundle.crt ((ignore para desenvolvimento de teste)
Crie uma pasta.aws em home/ec2-user 5
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =Usando o WinSCP, transfira o arquivo de credenciais para a pasta.aws
Instale o módulo de inicialização
$ sudo pip install boot
Módulo de solicitações de instalação
Solicitações de instalação do $ sudo pip
Instale o módulo beautifulsoup
$ sudo pip install beautifulsoup4
Copie o script para home/ec2-user
Defina as permissões necessárias
Execute o script: samlapi.py
