概觀
此實驗室會引導您完成使用 AWS Identity and Access Management (IAM) 設定 Active Directory Federation Services (AD FS) 的程序,讓 Active Directory 使用者和群組能夠存取 AWS 管理主控台。您會將 AWS 支援用於安全聲明標記語言 (SAML),這是許多身分提供者 (IdP) 採用的一種開放式標準。此功能可支援聯合身分單一登入 (SSO),使用來自 SAML 合規 IdP (例如 AD FS) 的聲明,以讓使用者登入主控台或對 AWS Application Program Interface (API) 進行程式化呼叫。使用聯合身分可授與外部身分或聯合身分使用者對 AWS 帳戶中資源的安全存取權,而無需建立 IAM 使用者。
目標
完成此實驗室之後,您將能夠:
- 在 Windows 伺服器上安裝和設定 AD FS。
- 使用現有的 Active Directory 伺服器來啟用 AWS 管理主控台的聯合身分存取功能。
- 在 IAM 中建立新角色,並將這些角色映射到您的聯合身分使用者。
- 允許聯合身分使用者存取 AWS 管理主控台。
技術知識先決條件
若要成功完成此實驗室,您應該熟悉基本 Windows Server 管理,同時非常精通並充分掌握聯合身分和 IdP 的整體相關概念,尤其是 SAML、輕量型目錄存取協定 (LDAP)、Active Directory 和 IAM。
持續時間
此實驗室大約需要 60 分鐘的時間來完成。
注意:在您選擇 Start Lab (啟動實驗室) 後,大約需要 10 分鐘的時間來部署環境。
圖示圖例
此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。下列清單說明各圖示的用途:
- 命令:您必須執行的命令。
- 預期輸出:您可使用的範例輸出,以驗證命令的輸出內容或經過編輯的檔案。
- 注意:提示、秘訣或重要指引。
AD FS 聯合身分驗證程序
下列程序詳細說明使用者如何使用 Active Directory 和 AD FS 對 AWS 進行身分驗證:
步驟 1:當使用者瀏覽到其網域內的 AD FS 範例網站 (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) 時,就會啟動此流程。安裝 AD FS 時,包含此頁面的預設網站會獲得一個名為 AD FS 的新虛擬目錄。
步驟 2:登入頁面會根據 Active Directory 對使用者進行身分驗證。視使用者的瀏覽器而定,系統可能會提示使用者輸入其 Active Directory 使用者名稱和密碼。
步驟 3:使用者的瀏覽器會收到來自 AD FS 的 SAML 聲明 (以身分驗證回應的形式)。
步驟 4:使用者的瀏覽器會將該 SAML 聲明張貼到 AWS 登入 SAML 端點 (https://signin.aws.amazon.com/saml)。在幕後,登入程序會使用 AssumeRoleWithSAML API 來請求臨時安全憑證,然後建構 AWS 管理主控台的登入 URL。
步驟 5:使用者的瀏覽器會收到登入 URL,並重新導向到主控台。
佈建的基礎設施
為了協助您專注於此實驗室的主題,我們已提供您自動產生的環境,其中包含具有名為 mydomain.local 網域的預先安裝 Active Directory 網域控制器。
網域控制器執行個體位於私有子網路中。還有一個包含網路位址轉譯 (NAT) 專用執行個體以及遠端桌面閘道 (RD 閘道) 專用執行個體的公有子網路。公有子網路也稱為 DMZ。Active Directory 也已視需要佈建路由表、子網路和網際網路閘道。下圖顯示此設定,包括您將在此實驗室進行期間於私有子網路中啟動的 AD FS 執行個體:
NAT 執行個體可允許私有子網路中的執行個體進行傳出網際網路存取 (例如用於 Windows Update 或連線到 IAM)。RD 閘道執行個體只允許經由遠端桌面協定 (RDP) 傳入到私有子網路中執行個體的管理存取。
注意:您必須先使用 RDP 用戶端連線到公開的 RD 閘道執行個體,才能登入私有子網路執行個體。然後,您可以使用私有 IP 位址,開啟私有子網路中從 RD 閘道執行個體到網域控制器執行個體或 AD FS 執行個體的 RDP 連線。在此案例中,RD 閘道執行個體會做為堡壘 (跳接) 主機。