Panoramica
Questo laboratorio illustra il processo di configurazione di Active Directory Federation Services (AD FS) con AWS Identity and Access Management (IAM), il quale permette agli utenti e ai gruppi di Active Directory di accedere alla console di gestione AWS. Utilizzerai il supporto AWS per Security Assertion Markup Language (SAML), uno standard aperto di cui si servono molti provider di identità (IDP). Questa funzionalità abilita il Single Sign-On (SSO) federato, che consente agli utenti di accedere alla console o effettuare chiamate programmatiche alle API (Application Programming Interfaces) AWS utilizzando asserzioni da un IDP conforme a SAML come AD FS. Grazie alla federazione delle identità , le identità esterne possono accedere con la massima sicurezza alle risorse nell’account AWS senza dover creare utenti IAM.
Obiettivi
Dopo aver completato questo laboratorio, sarai in grado di:
- Installare e configurare AD FS in un server Windows.
- Abilitare l’accesso federato alla Console di gestione AWS utilizzando un server Active Directory esistente.
- Creare nuovi ruoli in IAM e mapparli agli utenti federati.
- Consentire agli utenti federati di accedere alla Console di gestione AWS.
Competenze tecniche preliminari
Per superare questo laboratorio, dovrai avere familiarità con l’amministrazione di base di Windows Server, oltre a conoscere a fondo le tecniche di identità federata e IDP in generale e SAML, Lightweight Directory Access Protocol (Lightweight Directory Access Protocol), Active Directory e IAM in particolare.
Durata
Il completamento di questo laboratorio richiede circa 60 minuti.
Nota: dopo aver scelto Start Lab (Inizia laboratorio), la distribuzione dell’ambiente richiede circa 10 minuti.
Legenda icone
In questo laboratorio vengono utilizzate varie icone per richiamare l’attenzione su diversi tipi di istruzioni e note. Nell’elenco seguente viene illustrato lo scopo di ciascuna di esse:
- Comando: un comando da eseguire.
- Output previsto: un output di esempio che puoi utilizzare per verificare l’output di un comando o di un file modificato.
- Nota: una nota, un suggerimento o indicazioni importanti.
Processo di autenticazione federata con AD FS
Il processo seguente illustra nel dettaglio il modo in cui un utente eseguirebbe l’autenticazione ad AWS utilizzando Active Directory e AD FS:
Passaggio 1. Il flusso viene avviato quando un utente accede al sito di esempio di AD FS (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) all’interno del proprio dominio. Quando installi AD FS, viene visualizzata una nuova directory virtuale denominata AD FS per il sito Web predefinito, che include questa pagina.
Passaggio 2. La pagina di accesso autentica l’utente in Active Directory. A seconda del browser dell’utente, potrebbe essere richiesto di immettere il nome utente e la password di Active Directory.
Passaggio 3. Il browser dell’utente riceve un’asserzione SAML sotto forma di risposta di autenticazione da AD FS.
Passaggio 4. Il browser dell’utente pubblica l’asserzione SAML nell’endpoint SAML AWS sign-in (https://signin.aws.amazon.com/saml endpoint). Dietro le quinte, l’accesso utilizza l’API AssumeRoleWithSAML per richiedere credenziali di sicurezza temporanee e quindi crea un URL di accesso per la Console di gestione AWS.
Passaggio 5. Il browser dell’utente riceve l’URL di accesso e viene reindirizzato alla console.
Infrastruttura con provisioning
Per concentrarti sugli argomenti di questo laboratorio, ti è stato fornito un ambiente generato automaticamente, che contiene un controller di dominio Active Directory preinstallato con un dominio denominato mydomain.local.
L’istanza del controller di dominio si trova in una sottorete privata. È inoltre disponibile una sottorete pubblica con un’istanza per la traduzione degli indirizzi di rete (NAT) e un’istanza per Remote Desktop Gateway (RD Gateway). La sottorete pubblica viene anche definita DMZ. È stato inoltre eseguito il provisioning di tabelle di routing, sottorete e gateway Internet come richiesto da Active Directory. Nel diagramma seguente viene illustrata questa impostazione, inclusa l’istanza di AD FS che avvierai nella sottorete privata durante il laboratorio:
L’istanza NAT consente l’accesso in uscita a Internet (ad esempio, per Windows Update o per raggiungere IAM) per le istanze nella sottorete privata. L’istanza RD Gateway consente solo l’accesso in entrata tramite protocollo RDP (Remote Desktop Protocol) alle istanze nella sottorete privata.
Nota: per accedere alle istanze di sottoreti private, dovrai innanzitutto utilizzare un client RDP per connetterti all’istanza di RD Gateway rivolta al pubblico. Puoi quindi aprire una connessione RDP dall’istanza di RD Gateway all’istanza del controller di dominio o all’istanza di AD FS nella sottorete privata utilizzando l’indirizzo IP privato. In questo caso, l’istanza di RD Gateway funge da bastion host (jump).