Class Central is learner-supported. When you buy through links on our site, we may earn an affiliate commission.

Amazon Web Services

AWS Federated Authentication with AD FS (Portuguese)

Amazon Web Services and Amazon via AWS Skill Builder

Overview

Visão geral

Este laboratório apresenta o processo de configuração do Active Directory Federation Services (AD FS) com o AWS Identity and Access Management (IAM), que permite que usuários e grupos do Active Directory acessem o AWS Management Console. Você usará o suporte da AWS para Security Assertion Markup Language (SAML), um padrão aberto usado por muitos provedores de identidade (IdPs). Esse recurso permite autenticação única (SSO) federada, que possibilita que os usuários façam login no console ou façam chamadas programáticas para as interfaces de programação de aplicativo (APIs) da AWS usando asserções de um IdP compatível com SAML, como o AD FS. Com a federação de identidades, identidades externas ou usuários federados recebem acesso seguro aos recursos na conta da AWS sem exigir que você crie usuários do IAM.

Objetivos

Depois de concluir este laboratório, você será capaz de:

  • Instalar e configurar o AD FS em um servidor Windows.
  • Ativar o acesso federado ao console de gerenciamento da AWS usando um servidor Active Directory.
  • Criar funções no IAM e mapeá-las para usuários federados.
  • Permitir que usuários federados tenham acesso ao console de gerenciamento da AWS.

Conhecimentos técnicos necessários

Para concluir este laboratório com êxito, você deverá conhecer a administração básica do Windows Server e também ter conhecimentos sólidos sobre as técnicas de identidade federada e IDPs em geral, além de SAML, Lightweight Directory Access Protocol (LDAP), Active Directory e IAM em particular.

Duração

O laboratório levará aproximadamente 60 minutos.

Observação: depois de clicar em Iniciar laboratório, leva cerca de 10 minutos para que o ambiente seja implantado.

Lista de ícones

Vários ícones são usados neste laboratório para chamar a atenção para diferentes tipos de instruções e observações. A lista a seguir explica a finalidade de cada ícone:

  • Comando: um comando que você precisa executar.
  • Saída esperada: um exemplo que você pode usar para verificar a saída de um comando ou arquivo editado.
  • Observação: uma sugestão, dica ou orientação importante.

Processo de autenticação federada do AD FS

O processo a seguir detalha como um usuário se autenticaria na AWS usando o Active Directory e o AD FS:

Etapa 1. O fluxo é iniciado quando um usuário navega para o site de exemplo do AD FS (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) dentro de seu domínio. Ao instalar o AD FS, você obtém um novo diretório virtual chamado AD FS para seu site-padrão, que inclui esta página.

Etapa 2. A página de login autentica o usuário no Active Directory. Dependendo do navegador do usuário, podem ser solicitados o nome de usuário e a senha do Active Directory.

Etapa 3. O navegador recebe uma asserção SAML na forma de uma resposta de autenticação do AD FS.

Etapa 4. O navegador publica a declaração do SAML no endpoint de login da AWS para SAML (https://signin.aws.amazon.com/saml). Internamente, o login usa a operação da API AssumeRoleWithSAML para solicitar credenciais de segurança temporárias e então criar um URL de login para o console de gerenciamento da AWS.

Etapa 5. O navegador do usuário recebe o URL de login e é redirecionado para o console.

Infraestrutura provisionada

Para ajudar a se concentrar nos tópicos deste laboratório, você recebeu um ambiente gerado automaticamente, que contém um controlador de domínio pré-instalado do Active Directory com um domínio chamado mydomain.local.

A instância do controlador de domínio está em uma sub-rede privada. Há também uma sub-rede pública com uma instância de conversão de endereços de rede (NAT) e uma instância para o Gateway de área de trabalho remota (Gateway de RD). A sub-rede pública também é referida como DMZ. Tabelas de roteamento, sub-redes e um gateway da Internet também foram provisionados conforme necessário para uso do Active Directory. O diagrama a seguir mostra essa configuração, incluindo a instância do AD FS que você executará na sub-rede privada durante o laboratório:

A instância NAT permite acesso do tráfego de saída à Internet (por exemplo, para o Windows Update ou para acessar o IAM) nas instâncias na sub-rede privada. A instância do RD Gateway permite acesso administrativo somente de entrada por meio de protocolo de Remote Desktop Protocol (RDP) a instâncias na sub-rede privada.

Observação: para fazer login nas instâncias de sub-rede privada, você deve primeiro usar um cliente RDP para se conectar à instância do RD Gateway voltada para o público. Em seguida, você pode abrir uma conexão RDP da instância do RD Gateway para a instância do controlador de domínio ou instância do AD FS na sub-rede privada usando o endereço IP privado. Nesse caso, a instância do RD Gateway atua como um host bastion (jump).

Reviews

Start your review of AWS Federated Authentication with AD FS (Portuguese)

Never Stop Learning.

Get personalized course recommendations, track subjects and courses with reminders, and more.

Someone learning on their laptop while sitting on the floor.