Información general
Este laboratorio te llevará por el proceso de configuración de Servicios de federación de Active Directory (AD FS) con AWS Identity and Access Management (IAM), lo que permite que los usuarios y grupos de Active Directory accedan a la consola de administración de AWS. Utilizarás el soporte de AWS para Lenguaje de marcado de aserción de seguridad (SAML), un estándar abierto que usan muchos proveedores de identidad (IdP). Esta función activa el servicio Single Sign-On (SSO) federado, que permite a los usuarios iniciar sesión en la consola o realizar llamadas mediante programación a las interfaces de programación de aplicaciones (API) de AWS mediante aserciones de un IdP compatible con SAML como AD FS. La identidad federada permite conceder a las identidades externas o a los usuarios federados acceso seguro a los recursos de la cuenta de AWS sin necesidad de crear usuarios de IAM.
Objetivos
Después de completar este laboratorio, podrás realizar lo siguiente:
- instalar y configurar AD FS en un servidor Windows
- Activar el acceso federado a la consola de administración de AWS mediante un servidor de Active Directory existente
- Crear roles en IAM y asignarlos a usuarios federados
- Permitir a los usuarios federados tener acceso a la consola de administración de AWS.
Conocimientos técnicos necesarios
Para completar este laboratorio correctamente, no solo debes estar familiarizado con la administración básica de Windows Server, sino también tener conocimientos muy fluidos y conceptualmente sólidos sobre las técnicas de identidad federada e IdP en general, y de SAML, LDAP (protocolo ligero de acceso a directorios), Active Directory e IAM en particular.
Requisitos previos
Este laboratorio requiere:
-
Tener acceso a un equipo portátil con Wi-Fi que use Microsoft Windows, Mac OS X o Linux (Ubuntu, SuSE o Red Hat).
-
En el caso de usuarios de Microsoft Windows: acceso de administrador al equipo
-
Un navegador de Internet como Chrome, Firefox o Internet Explorer 9 (las versiones anteriores de Internet Explorer no son compatibles)
Nota: Actualmente, este laboratorio es incompatible con Internet Explorer 11. Utiliza otro navegador para iniciar este laboratorio.
Duración
El tiempo estimado para completar este laboratorio es de 60 minutos.
Nota: Una vez que hagas clic en Start lab (Iniciar laboratorio), el entorno tarda aproximadamente 10 minutos en implementarse.
Proceso de autenticación federada de AD FS
En el siguiente proceso detalla la forma en que un usuario se debe autenticar en AWS mediante Active Directory y AD FS.
Paso 1. El flujo se inicia cuando un usuario va al sitio de ejemplo de AD FS (https://Nombre.De.Dominio.Completo.Aquí/adfs/ls/IdpInitiatedSignOn.aspx) dentro de su dominio. Al instalar AD FS, obtendrás un directorio virtual denominado “AD FS” para tu sitio web predeterminado. Dicho directorio incluye esta página.
Paso 2. La página de inicio de sesión autentica al usuario en Active Directory. En función del navegador del usuario, es posible que se le solicite el nombre de usuario y la contraseña de Active Directory.
Paso 3. En el navegador del usuario, se recibe una aserción de SAML, en forma de respuesta de autenticación de AD FS.
Paso 4. El navegador del usuario publica dicha aserción en el punto de enlace del inicio de sesión de AWS para SAML (https://signin.aws.amazon.com/saml). En segundo plano, el inicio de sesión utiliza la API AssumeRoleWithSAML para solicitar credenciales de seguridad temporales y, a continuación, crea una URL de inicio de sesión para la consola de administración de AWS.
Paso 5. En el navegador del usuario se recibe la dirección URL de inicio de sesión y se redirige a la consola.
Infraestructura aprovisionada
Para que puedas centrarte en los temas de este laboratorio, se ha proporcionado un entorno generado de forma automática que contiene un controlador de dominio de Active Directory preinstalado con un dominio denominado mydomain.local.
La instancia del controlador de dominio se encuentra en una subred privada. También hay una subred pública con una instancia para la traducción de direcciones de red (NAT) y una instancia para la puerta de enlace de Escritorio remoto. La subred pública también se conoce como DMZ. También se han aprovisionado las tablas de enrutamiento, las subredes y una puerta de enlace de Internet en función de las necesidades de Active Directory. El siguiente diagrama muestra esta configuración, incluida la instancia de AD FS que iniciarás en la subred privada durante el laboratorio:
La instancia de NAT permite el acceso saliente a Internet (por ejemplo, para Windows Update o para acceder a IAM) a las instancias de la subred privada. La instancia para la puerta de enlace de Escritorio remoto solo permite el acceso entrante con fines de administración a instancias de la subred privada por medio del protocolo de Escritorio remoto (RDP).
Nota: Con el fin de iniciar sesión en las instancias de subred privadas, primero debes utilizar un cliente de RDP para conectarse a la instancia de la puerta de enlace de Escritorio remoto de acceso público. Después, puedes abrir una conexión RDP desde la instancia de la puerta de enlace de Escritorio remoto hasta la instancia del controlador de dominio o la instancia de AD FS en la subred privada mediante la dirección IP privada. En este caso, la instancia de la puerta de enlace de Escritorio remoto actúa como host bastión (salto).
