Información general
En este laboratorio, explorará el proceso de configuración de los Servicios de federación de Active Directory (ADFS) con AWS Identity and Access Management (IAM), que permite a los usuarios y grupos de Active Directory acceder a la consola de administración de AWS. Utilizará AWS Support para el lenguaje de marcado para confirmaciones de seguridad (SAML), un estándar abierto utilizado por muchos proveedores de identidad (IdPs). Esta función posibilita el inicio de sesión único (SSO) federado, que permite a los usuarios iniciar sesión en la consola o realizar llamadas programáticas a las interfaces de programación de aplicaciones (API) de AWS mediante confirmaciones de un IdP compatible con SAML como ADFS. Con la identidad federada, se concede a las identidades externas o usuarios federados acceso seguro a los recursos de la cuenta de AWS sin tener que crear usuarios de IAM.
Objetivos
Después de completar este laboratorio, podrá hacer lo siguiente:
- instalar y configurar ADFS en un servidor de Windows
- habilitar el acceso federado a la consola de administración de AWS mediante un servidor de Active Directory existente
- crear nuevos roles IAM y mapearlos a sus usuarios federados
- permitir que los usuarios federados tengan acceso a la consola de administración de AWS
Conocimientos técnicos previos necesarios
Para completar este laboratorio correctamente, debe estar familiarizado con la administración básica de Windows Server y también tener conocimientos fluidos y conceptualmente sólidos sobre las técnicas de identidad federada e IdP en general, así como SAML, el protocolo ligero de acceso a directorios (LDAP), Active Directory e IAM en particular.
Duración
El tiempo estimado para completar este laboratorio es de aproximadamente 60 minutos.
Nota: Una vez que haga clic en Start Lab (Iniciar laboratorio), la implementación del entorno toma alrededor de 10 minutos.
Significados de los íconos
A lo largo de este laboratorio, se utilizan varios íconos para llamar la atención sobre diferentes tipos de instrucciones y notas. En la siguiente lista, se explica el propósito de cada ícono:
- Comando: un comando que debe ejecutar.
- Resultado esperado: un resultado de ejemplo que puede utilizar para verificar el resultado de un comando o archivo editado
- Nota: Una pista, consejo u orientación importante.
Proceso de autenticación federada de ADFS
A continuación, se detalla el proceso para autenticar un usuario en AWS mediante Active Directory y ADFS.
Paso 1. El flujo se inicia cuando un usuario navega al sitio de muestra de ADFS (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) dentro de su dominio. Después de instalar ADFS, obtendrá un directorio virtual nuevo denominado “ADFS” para su sitio web predeterminado, que incluye esta página.
Paso 2. La página de inicio de sesión autentica el usuario en Active Directory. Según el navegador del usuario, es posible que se le solicite su nombre de usuario y contraseña de Active Directory.
Paso 3. El navegador del usuario recibe una confirmación de SAML en forma de una respuesta de autenticación de ADFS.
Paso 4. El navegador del usuario publica la confirmación de SAML en el punto de enlace de inicio de sesión de AWS para SAML (https://signin.aws.amazon.com/saml). De fondo, el inicio de sesión utiliza la API AssumeRoleWithSAML para solicitar las credenciales de seguridad temporales y luego generar una URL de inicio de sesión para la consola de administración de AWS.
Paso 5. El navegador del usuario recibe la URL de inicio de sesión y se redirige a la consola.
Infraestructura aprovisionada
Para ayudarlo a enfocarse en los temas de este laboratorio, se proporcionó un entorno generado de forma automática, que contiene un controlador de dominio de Active Directory preinstalado con un dominio denominado mydomain.local.
La instancia del controlador del dominio se encuentra en una subred privada. También hay una subred pública con una instancia para la traducción de direcciones de red (NAT) y una instancia para la puerta de enlace de Escritorio remoto (RD Gateway). La subred pública también se conoce como DMZ. Las tablas de enrutamiento, las subredes y una puerta de enlace de Internet también se aprovisionaron según las necesidades de Active Directory. En el siguiente diagrama, se muestra esta configuración, incluida la instancia de ADFS que lanzará en la subred privada durante el laboratorio:
La instancia NAT permite el acceso saliente a Internet (por ejemplo, para Windows Update o para llegar a IAM) para instancias en la subred privada. La instancia de puerta de enlace de Escritorio remoto solo permite el acceso administrativo entrante a instancias en la subred privada por medio del protocolo de escritorio remoto (RDP).
Nota: Con el fin de iniciar sesión en las instancias de subred privadas, primero utilice un cliente de RDP para conectarse a la instancia de puerta de enlace de Escritorio remoto de acceso público. Luego, puede abrir una conexión RDP desde la instancia de puerta de enlace de Escritorio remoto hacia la instancia del controlador de dominio o instancia de ADFS en la subred privada mediante la dirección IP privada. En este caso, la instancia de puerta de enlace de Escritorio remoto actúa como un host bastión (salto).