As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Regra de declaração do AD FS e configurações de SAML
ActiveDirectory Regra de declaração do Federation Services (AD FS) e configurações de SAML para AWS Managed Services (AMS)
Para step-by-step obter instruções detalhadas sobre como instalar e configurar o AD FS, consulte [Habilitando a federação na AWS usando o Windows Active Directory, o ADFS e o SAML 2.0.](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
## Configurações de regras de declaração do ADFS
Se você já tiver uma implementação do ADFS, configure o seguinte:
+ Confiança da parte confiável
+ Regras de reivindicações
As etapas das regras de confiança e reivindicações da parte confiável foram seguidas do blog [Habilitar a federação na AWS usando o Windows Active Directory, AD FS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ Regras de reivindicações:
+ **Nameid**: configuração por postagem do blog
+ **RoleSessionName**: Configure da seguinte forma
+ **Nome da regra de reivindicação**: **RoleSessionName**
+ **Armazenamento de atributos**: **Active Directory**
+ Atributo **LDAP**: **SAM-Account-Name**
+ **Tipo de reclamação de saída**: **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
+ **Obtenha grupos do AD**: configuração por [postagem do blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ **Reivindicação de função**: configure da seguinte forma
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
```
```
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
```
## Console web
Você pode acessar o console web da AWS usando o link abaixo, {{[ADFS-FQDN]}} substituindo-o pelo FQDN da sua implementação do ADFS.
https://{{[ADFS-FQDN]}}/adfs/ls/IdpInitiatedSignOn.aspx
Seu departamento de TI pode implantar o link acima para a população de usuários por meio de uma Política de Grupo.
## Acesso à API e à CLI com SAML
Como configurar o acesso à API e à CLI com SAML.
Os pacotes python são provenientes das postagens do blog abaixo:
+ NTLM: [Como implementar API federada e acesso à CLI usando](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) SAML 2.0 e AD FS
+ Formulários: [Como implementar uma solução geral para API/CLI acesso federado usando o SAML 2.0](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/)
+ PowerShell: [Como configurar o acesso federado à API na AWS usando o Windows PowerShell](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/)
### Configuração do script
1. Usando o Notepad\+\+, altere a região padrão para a região correta
1. Usando o Notepad\+\+, desative a verificação SSL para ambientes de teste e desenvolvimento
1. Usando o Notepad\+\+, configure idpentryurl
`https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`
### Configuração do Windows
As instruções abaixo são para os pacotes python. As credenciais geradas serão válidas por 1 hora.
1. [Baixe e instale o python (2.7.11)](https://www.python.org/downloads/)
1. [Baixe e instale as ferramentas de CLI da AWS](https://aws.amazon.com/cli/)
1. Instale a CLI do AMS:
1. Faça o download do arquivo zip dos distribuíveis do AMS fornecido pelo seu gerente de entrega de serviços em nuvem (CSDM) e descompacte.
Vários diretórios e arquivos são disponibilizados.
1. Abra o diretório **Managed Cloud Distributables -> CLI ->** Windows ou **Managed Cloud Distributables -> CLI -> Linux**/macOS, dependendo do seu sistema operacional, e:
Para **Windows**, execute o instalador apropriado (esse método só funciona em sistemas Windows de 32 ou 64 bits):
+ 32 bits: ManagedCloud API\_x86.msi
+ 64 bits: ManagedCloud API\_x64.msi
**Para **Mac/Linux**, execute o arquivo chamado: MC\_CLI.sh.** Você pode fazer isso executando este comando:`sh MC_CLI.sh`. **Observe que os diretórios **amscm** e **amsskms** e seu conteúdo devem estar no mesmo diretório do arquivo MC\_CLI.sh.**
1. Se suas credenciais corporativas forem usadas via federação com a AWS (a configuração padrão do AMS), você deverá instalar uma ferramenta de gerenciamento de credenciais que possa acessar seu serviço de federação. Por exemplo, você pode usar este blog de segurança da AWS [Como implementar API federada e acesso à CLI usando SAML 2.0 e AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS para ajudar a configurar suas ferramentas de gerenciamento de credenciais.
1. Após a instalação, execute `aws amscm help` e veja `aws amsskms help` os comandos e opções.
1. Baixe o script SAML necessário
Faça o download em c:\\aws\\scripts
1. [Baixar PIP](https://bootstrap.pypa.io/get-pip.py)
Faça o download em c:\\aws\\downloads
1. Usando PowerShell, instale o PIP
. \\ python.exe c:\\aws\\downloads\\get -pip.py
1. Usando PowerShell, instale o módulo de inicialização
inicialização de instalação do pip
1. Usando PowerShell e instalando o módulo de solicitações
solicitações de instalação de pip
1. Usando PowerShell e instalando o módulo de segurança de solicitações
solicitações de instalação do pip [segurança]
1. Usando PowerShell, instale o módulo beautifulsoup
pip install beautifulsoup4
1. Usando PowerShell, crie uma pasta chamada .aws no perfil do usuário (%userprofile%\\ .aws)
mkdir.aws
1. Usando PowerShell, crie um arquivo de credencial na pasta.aws
Credenciais do novo item - tipo de arquivo —force
O arquivo de credenciais não deve ter uma extensão de arquivo
O nome do arquivo deve estar todo em minúsculas e ter as credenciais do nome
1. Abra o arquivo de credenciais com o bloco de notas e cole os seguintes dados, especificando a região correta
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Usando PowerShell o script SAML e o logon
. \\ python.exe c:\\aws\\scripts\\samlapi.py
Nome de usuário: [NOME DE USUÁRIO] @upn
Escolha a função que você gostaria de assumir
### Configuração Linux
As credenciais geradas serão válidas por 1 hora.
1. Usando o WinSCP, transfira o script SAML
1. Usando o WinSCP, transfira o certificado Root CA (ignore para teste e desenvolvimento)
1. Adicione a CA RAIZ aos certificados raiz confiáveis (ignore para teste e desenvolvimento)
$ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignore para teste e desenvolvimento)
Adicione o conteúdo do certificate.pem ao final do arquivo/etc/ssl/certs/ca-bundle.crt ((ignore para desenvolvimento de teste)
1. Crie uma pasta.aws em home/ec2-user 5
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Usando o WinSCP, transfira o arquivo de credenciais para a pasta.aws
1. Instale o módulo de inicialização
inicialização de instalação do $ sudo pip
1. Módulo de solicitações de instalação
Solicitações de instalação do $ sudo pip
1. Instale o módulo beautifulsoup
$ sudo pip install beautifulsoup4
1. Copie o script para home/ec2-user
Defina as permissões necessárias
Execute o script: samlapi.py