Présentation
Cet atelier vous guide tout au long du processus de configuration d’Active Directory Federation Services (AD FS) avec AWS Identity and Access Management (IAM), qui permet aux utilisateurs et aux groupes Active Directory d’accéder à la Console de gestion AWS. Vous utilisez la prise en charge par AWS du langage Security Assertion Markup Language (SAML), un standard ouvert utilisé par de nombreux fournisseurs d’identité (IdP). Cette fonction active l’authentification unique (SSO) fédérée, qui permet aux utilisateurs de se connecter à la console ou d’effectuer des appels programmatiques aux API (Application Program Interface) AWS à l’aide d’assertions provenant d’un IdP compatible SAML tel qu’AD FS. Avec la fédération des identités, les identités externes ou les utilisateurs fédérés disposent d’un accès sécurisé aux ressources dans votre compte AWS, sans que vous deviez créer d’utilisateurs IAM.
Objectifs
À la fin de cet atelier, vous serez en mesure d’effectuer les opérations suivantes :
- Installer et configurer AD FS sur un serveur Windows.
- Activer l’accès fédéré à la Console de gestion AWS à l’aide d’un serveur Active Directory existant.
- Créer de nouveaux rôles dans IAM et les mapper à vos utilisateurs fédérés.
- Autoriser les utilisateurs fédérés à accéder à la Console de gestion AWS.
Connaissances techniques préalables
Pour réussir cet atelier, vous devez connaître l’administration de base de Windows Server. Vous devez également maîtriser l’utilisation et les concepts des techniques d’identité fédérée et des IdP en général, de SAML, de LDAP (Lightweight Directory Access Protocol), d’Active Directory et d’IAM en particulier.
Durée
Cet atelier dure environ 60 minutes.
Remarque : après avoir sélectionné Start Lab (Démarrer l’atelier), le déploiement de l’environnement prend environ 10 minutes.
Signification des icônes
Cet atelier utilise de nombreuses icônes différentes pour attirer l’attention sur différents types d’instructions et de remarques. La liste suivante explique la raison d’être de chaque icône :
- Commande : une commande que vous devez exécuter.
- Sortie attendue : un exemple de sortie que vous pouvez utiliser pour vérifier la sortie d’une commande ou d’un fichier modifié.
- Remarque : un indice, une directive ou un conseil important.
Processus d’authentification fédérée AD FS
Le processus suivant détaille la manière dont un utilisateur doit s’authentifier auprès d’AWS à l’aide d’Active Directory et d’AD FS :
Etape 1. Le flux est lancé lorsqu’un utilisateur accède au site d’exemple AD FS (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) dans son domaine. Lorsque vous installez AD FS, vous obtenez un nouveau répertoire virtuel nommé AD FS pour votre site web par défaut, qui inclut cette page.
Étape 2. La page de connexion authentifie l’utilisateur auprès d’Active Directory. Selon le navigateur de l’utilisateur, celui-ci peut être invité à saisir son nom d’utilisateur et son mot de passe Active Directory.
Étape 3. Le navigateur de l’utilisateur reçoit une assertion SAML sous la forme d’une réponse d’authentification d’AD FS.
Étape 4. Le navigateur de l’utilisateur publie l’assertion SAML sur le point de terminaison de connexion AWS pour SAML (https://signin.aws.amazon.com/saml). En arrière-plan, la connexion utilise l’API AssumeRoleWithSAML pour demander des justificatifs temporaires, puis construit une URL de connexion pour la Console de gestion AWS.
Étape 5. Le navigateur de l’utilisateur reçoit l’URL de connexion et est redirigé vers la console.
Infrastructure mise en service
Pour vous aider à vous concentrer sur les sujets de cet atelier, un environnement généré automatiquement vous est fourni. Cet environnement contient un contrôleur de domaine Active Directory préinstallé avec un domaine appelé mydomain.local.
L’instance de contrôleur de domaine se trouve dans un sous-réseau privé. Il existe également un sous-réseau public avec une instance pour la traduction d’adresses réseau (NAT, Network Address Translation) et une instance pour Remote Desktop Gateway (RD Gateway). Le sous-réseau public est également appelé DMZ. Les tables de routage, les sous-réseaux et une passerelle Internet ont également été alloués selon les besoins par Active Directory. Le diagramme suivant illustre cette configuration, y compris l’instance AD FS que vous allez lancer dans le sous-réseau privé lors de l’atelier :
L’instance NAT permet un accès Internet sortant (par exemple, pour Windows Update ou pour atteindre IAM) pour les instances du sous-réseau privé. L’instance RD Gateway autorise uniquement l’accès administratif entrant via le Remote Desktop Protocol (RDP) aux instances du sous-réseau privé.
Remarque : pour vous connecter à vos instances de sous-réseau privé, vous devez d’abord utiliser un client RDP pour vous connecter à l’instance RD Gateway publique. Vous pouvez ensuite ouvrir une connexion RDP à partir de l’instance RD Gateway vers l’instance de contrôleur de domaine ou vers l’instance AD FS dans le sous-réseau privé au moyen de l’adresse IP privée. Dans ce cas, l’instance RD Gateway agit comme un hôte bastion (jump).