Gambaran Umum
Lab ini membawa Anda melalui proses konfigurasi Active Directory Federation Services (AD FS) dengan AWS Identity and Access Management (IAM), yang memungkinkan pengguna dan grup Active Directory untuk mengakses AWS Management Console. Anda akan menggunakan dukungan AWS untuk Security Assertion Markup Language (SAML), sebuah standar terbuka yang digunakan oleh banyak penyedia identitas (IdP). Fitur ini mengaktifkan single sign-on (SSO) gabungan, yang memungkinkan pengguna masuk ke konsol atau membuat panggilan program ke application programming interfaces (APIs) AWS dengan menggunakan pernyataan dari IdP yang patuh terhadap SAML seperti AD FS. Dengan federasi identitas, identitas eksternal atau pengguna gabungan diberikan akses yang aman ke sumber daya di dalam akun AWS tanpa mengharuskan Anda membuat akun pengguna IAM.
Tujuan
Setelah menyelesaikan lab ini, Anda akan dapat:
- Menginstal dan mengatur AD FS di server Windows
- Mengaktifkan akses gabungan ke AWS Management Console menggunakan server Active Directory yang ada.
- Membuat role baru di IAM dan memetakannya ke pengguna gabungan
- Mengizinkan pengguna gabungan untuk memiliki akses ke AWS Management Console
Prasyarat pengetahuan teknis
Agar berhasil menyelesaikan lab ini, Anda harus terbiasa dengan administrasi Windows Server dasar dan juga sangat fasih dan paham secara konseptual dengan teknik identitas dan IdP gabungan secara umum, dan SAML, Lightweight Directory Access Protocol (LDAP), Active Directory, dan IAM khususnya.
Durasi
Lab ini memerlukan sekitar 60 menit untuk diselesaikan.
Catatan: Setelah Anda memilih Start Lab (Mulai Lab), diperlukan waktu sekitar 10 menit agar lingkungan di-deploy.
Kunci ikon
Beragam ikon digunakan di seluruh lab ini untuk menarik perhatian kepada berbagai jenis petunjuk dan catatan. Daftar berikut menjelaskan tujuan setiap ikon:
- Perintah: Perintah yang harus Anda jalankan.
- Output yang diharapkan: Output sampel yang dapat Anda gunakan untuk memverifikasi output dari perintah atau file yang di-edit.
- Catatan: Petunjuk, tips, atau panduan penting
Proses autentikasi AD FS gabungan
Proses berikut memerinci cara pengguna mengautentikasi ke AWS menggunakan Active Directory dan AD FS:
Langkah 1. Aliran dimulai ketika pengguna menelusuri ke situs sampel AD FS (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) di dalam domain mereka. Ketika menginstal AD FS, Anda mendapatkan direktori virtual baru bernama AD FS untuk situs web default Anda, yang mencakup halaman ini.
Langkah 2. Halaman masuk mengautentikasi pengguna terhadap Active Directory. Tergantung pada browser pengguna, mereka mungkin akan dimintai memasukkan nama pengguna dan kata sandi Active Directory.
Langkah 3. Browser pengguna menerima pernyataan SAML dalam bentuk respons autentikasi dari AD FS.
Langkah 4. Browser pengguna mem-posting pernyataan SAML untuk endpoint masuk ke AWS untuk SAML (https://signin.aws.amazon.com/saml). Di balik layar, upaya masuk menggunakan API AssumeRoleWithSAML untuk meminta kredensial keamanan sementara dan kemudian membangun URL masuk untuk AWS Management Console.
Langkah 5. Browser pengguna menerima URL masuk dan dialihkan ke konsol.
Infrastruktur yang Disediakan
Agar Anda fokus pada topik lab ini, lab menyediakan lingkungan yang dihasilkan secara otomatis, yang berisi pengendali domain Active Directory prainstal dengan domain yang disebut mydomain.local.
Instans pengendali domain berada di dalam subnet privat. Terdapat pula subnet publik dengan instans untuk terjemahan alamat jaringan (network address translation/NAT) dan instans untuk Gateway Desktop Jarak Jauh (Remote Desktop Gateway/RD Gateway). Subnet publik juga disebut sebagai DMZ. Tabel perutean, subnet, dan gateway internet juga telah ditetapkan sesuai kebutuhan oleh Active Directory. Diagram berikut menunjukkan pengaturan ini, termasuk instans AD FS yang akan Anda jalankan di subnet privat selama di lab:
Instans NAT mengizinkan akses internet keluar (misalnya, untuk Windows Update atau untuk mencapai IAM) untuk instans di subnet privat. Instans RD Gateway hanya mengizinkan akses administratif masuk melalui protokol desktop jarak jauh (RDP) untuk instans di subnet privat.
Catatan: Untuk masuk ke instans subnet privat, Anda harus terlebih dahulu menggunakan klien RDP agar terhubung ke instans RD Gateway untuk publik. Kemudian Anda dapat membuka koneksi RDP dari instans RD Gateway ke instans pengendali domain atau instans AD FS di subnet privat yang menggunakan alamat IP privat. Dalam hal ini, instans RD Gateway bertindak sebagai host bastion (lompatan).
