AWS 亚马逊 为AWS北京区管理控制台集成ADFS访问-1.pdf

AWS 亚马逊 为 AWS北京区管理控制台集成 ADFS访问 在我们使用 AWS 的过程中, AWS IAM 是我们接触的第一个服务, 它具有强大的功能 ，可 使您在AWSIAM中通过管理用户, 用户组, 策略, 角色, 证书, 密钥等来灵活而精确的控制 对 AWS 服务和资源的访问和权限. 同时在很多企业内部, 一般都已经部署了自己的用户管 理及授权系统, 如何将 AWS 的用户管理及授权纳入现有系统则成为企业的想要解决的一个 问题. 本文将介绍如何将企业内部 Windows活动目录(Active Directory)和 AWS通过 ADFS(Active Directory Service) 进行集成, 从而实现在活动目录中管理用户对 AWS服务 和资源的访问和授权. 在 AWSIAM 中, 我们提供了对 SAML的支持, 这个功能可以让我们可以和支持该标准的身 份提供商进行联合从而实现单点登陆. 对于很多使用微软活动目录的企业, 我们可以使用 Windows 自带的ADFS进行和 AWS IAM的集成. 工作原理 在我们进行详细配置之前, 可以先看一下工作原理 ： 1. 首先用户访问和 AWS做了集成的ADFS站点 (https//ADFS/adfs/ls/IdpInitiatedSignOn.aspx) 2. 用户在登陆页面输入用户名及密码, 提交以后ADFS将联系 AD进行用户验证 3. 用户浏览器收到 ADFS返回的 SAML 断言 4. 用户浏览器将用户断言 Post 到AWS 的 Sign-in SAML终结点 (https///saml), Sign-in将调用 AssumeRoleWithSAMLAPI接口 请求临时安全凭证并使用其构建管理控制台的登陆链接 5. 用户浏览器转向使用构建的登陆链接进行登陆 配置活动目录 1. 在活动目录中及建立用户 adfsuser, 邮件地址设为 adfsuser@examplecom 2. 在活动目录中建立两个组 AWSBJS-Admin, AWSBJS-ReadOnly, 这两个组会和 AWS 中新建的角色进行匹配 3. 将用户 adfsuser添加到 AWSBJS-Admin, AWSBJS-ReadOnly这两个组中 安装部署 Active Directory Federation Service 我们可以参考如下的文档部署 ADFS服务 https///en-us/library/dn486775.aspx 导出 SAML Metadata Document 访问ADFS服务器并导出 SAML Metadata Document (将 ADFS换成你 ADFS服务器的 名称) https//ADFS/FederationMetadata/2007-06/FederationMetadata.xml 配置 AWS 1. 登录 AWS管理控制台 https/// 2. 在 IAM服务中, 点击身份提供商, 选择 SAML, 导入从 ADFS服务器上导出的 SAML Metadata 3. 记录下提供商ARN记录 4. 新建IAM 角色ADFSBJS-Admin和ADFSBJS-ReadOnly [注意选择 授予 SAML 提供 商 Web 单点登录 (Web SSO) 访问权限, 这两个角色会和活动目录中的新建的用户组 AWSBJS-Admin和AWSBJS-ReadOnly 对应] 5. 记录各个角色的ARN 配置 ADFS将 AWS 作为 信赖方信任 1. 打开ADFS管理界面, 选择信任关系-信赖方信任 2. 右键点击信赖方信任, 点击 添加信赖方信任 3. 点击 启动 4. 选择 导入有关在线或在本地网络发布的信赖方的数据, 在联合元数据地址栏输入以下 地址,点击 下一步 https///static/saml-metadata.xml 5. 在 显示名称 中输入 AWS China, 然后点击下一步 6. 选择 不配置多重身份验证, 点击 下一步 7. 选择 允许所有用户访问此信赖方, 点击下一步 8. 点击下一步 9. 点击 关闭 10. 点击 关闭, 并打开编辑声明规则 为 AWS 信赖方信任 建立 声明规则 1. 在编辑声明规则中, 点击 添加规则 2. 选择 转化传入声明, 点击下一步 3. 声明规则名称使用 NameId, 传入声明类型 选择 Windows 帐户名, 传出声明类型 选 择 名称 ID, 传出名称 ID格式 选择 永久标识符, 点击完成 4. 再次点击 添加规则 5. 选择以声明方式发送 LDAP特性, 点击