AWS 亚马逊 为AWS北京区管理控制台集成ADFS访问.pdf

AWS 亚马逊 为AWS北京区管理控制台集成ADFS访问 在我们使用AWS的过程中,AWSIAM 是我们接触的第一个服务, 它具有强大的功能，可 使您在AWSIAM中通过管理用户, 用户组, 策略, 角色, 证书, 密钥等来灵活而精确的控制 对AWS 服务和资源的访问和权限. 同时在很多企业内部, 一般都已经部署了自己的用户管 理及授权系统, 如何将AWS的用户管理及授权纳入现有系统则成为企业的想要解决的一个 问题. 本文将介绍如何将企业内部Windows活动目录(ActiveDirectory)和AWS通过 ADFS(ActiveDirectoryService) 进行集成, 从而实现在活动目录中管理用户对AWS服务 和资源的访问和授权. 在AWS IAM中, 我们提供了对SAML的支持, 这个功能可以让我们可以和支持该标准的身 份提供商进行联合从而实现单点登陆. 对于很多使用微软活动目录的企业, 我们可以使用 Windows自带的ADFS进行和AWSIAM的集成. 工作原理 在我们进行详细配置之前, 可以先看一下工作原理： 1. 首先用户访问和AWS做了集成的ADFS站点 (https://ADFS/adfs/ls/IdpInitiatedSignOn.aspx) 2. 用户在登陆页面输入用户名及密码, 提交以后ADFS将联系AD进行用户验证 3. 用户浏览器收到ADFS返回的SAML 断言 4. 用户浏览器将用户断言Post到AWS的Sign-inSAML终结点 (/saml),Sign-in将调用AssumeRoleWithSAMLAPI接口 请求临时安全凭证并使用其构建管理控制台的登陆链接 5. 用户浏览器转向使用构建的登陆链接进行登陆 配置活动目录 1. 在活动目录中及建立用户adfsuser, 邮件地址设为adfsuser@examplecom 2. 在活动目录中建立两个组AWSBJS-Admin,AWSBJS-ReadOnly, 这两个组会和AWS 中新建的角色进行匹配 3. 将用户adfsuser添加到AWSBJS-Admin,AWSBJS-ReadOnly这两个组中 安装部署ActiveDirectoryFederationService 我们可以参考如下的文档部署ADFS服务 /en-us/library/dn486775.aspx 导出SAMLMetadataDocument 访问ADFS服务器并导出 SAMLMetadataDocument(将ADFS换成你ADFS服务器的 名称) https://ADFS/FederationMetadata/2007-06/FederationMetadata.xml 配置AWS 1. 登录 AWS管理控制台 / 2. 在IAM服务中, 点击身份提供商, 选择SAML, 导入从ADFS服务器上导出的SAML Metadata 3. 记录下提供商ARN记录 4. 新建IAM 角色ADFSBJS-Admin和ADFSBJS-ReadOnly[注意选择 授予 SAML 提供 商 Web 单点登录 (WebSSO) 访问权限, 这两个角色会和活动目录中的新建的用户组 AWSBJS-Admin和AWSBJS-ReadOnly对应] 5. 记录各个角色的ARN 配置ADFS将AWS作为 信赖方信任 1. 打开ADFS管理界面, 选择信任关系-信赖方信任 2. 右键点击信赖方信任, 点击 添加信赖方信任 3. 点击 启动 4. 选择 导入有关在线或在本地网络发布的信赖方的数据, 在联合元数据地址栏输入以下 地址,点击 下一步 /static/saml-metadata.xml 5. 在 显示名称 中输入AWSChina, 然后点击下一步 6. 选择 不配置多重身份验证, 点击 下一步 7. 选择 允许所有用户访问此信赖方, 点击下一步 8. 点击下一步 9. 点击 关闭 10. 点击 关闭, 并打开编辑声明规则 为AWS 信赖方信任 建立 声明规则 1. 在编辑声明规则中, 点击 添加规则 2. 选择 转化传入声明, 点击下一步 3. 声明规则名称使用 NameId, 传入声明类型 选择 Windows帐户名, 传出声明类型 选 择 名称ID, 传出名称ID格式 选择 永久标识符, 点击完成 4. 再次点击 添加规则 5. 选择以声明方式发送LDAP特性, 点击 下一步 6. 声明规则名称 输入RoleSessionName, 特性存储选择 ActiveDirectory,LDAP特性 选择 E-Mail-Address, 传出声明类型输入 /SAM