利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

阅读数:3 2019 年 12 月 30 日 11:38

利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

步骤 5:添加申明发布规则至依赖方

  • 依赖方信任窗口(Relying Party Trusts)中,右键单击依赖方信任(例如 Cognito 用户池)并选择编辑申明发布策略(Edit Claim Issuance Policy利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

  • 编辑申明发布策略(Edit Claim Issuance Policy对话框中单击添加规则。“添加转换申请规则向导”随即打开。

  • 选择规则模板(Select Rule Template页面中,为申明规则模板(Claim Rule Template选择发送 LDAP 属性作为申明(Send LDAP Attributes as Claims,并单击下一步

  • 配置规则 页面中,执行以下操作:

    • 键入申明规则名称(例如电子邮件)。
    • 对于属性仓库(Attribute Store,请选择 Active Directory
    • 选择一个 LDAP 属性(LDAP Attribute,然后选择 ** 传出申明类型(Outgoing Claim Type)** 以映射该属性。
    • 确保映射 NameId Email 的属性。具有默认配置的 Amazon Cognito 用户池需要这些属性_。_
    • 确保登录用户具有 NameId Email 的源 LDAP 属性。在下面的用户属性示例中,显示名称作为 NameId 属性传递,电子邮件作为 Email 属性传递利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)
  • 单击确定,并在编辑申明规则(Edit Claim Rules对话框中再次单击确定

步骤 6:将 ADFS 作为 SAML IdP 添加到 Cognito 用户池中

开始此任务前,确认以下 URL 在 ADFS 服务器上可用。您可以在此下载元数据文档:https:///FederationMetadata/2007-06/FederationMetadata.xml

  • 在 Amazon Cognito 控制台中访问身份提供商并选择 SAML
  • 对于元数据文档 ****(Metadata Document),单击选择文件并上传从 ADFS 服务器下载的元数据文档。或者,您可以直接指定 URL,但您的 ADFS SAML 元数据文档必须可以通过互联网访问。
  • 对于提供商名称,请键入您的身份提供商名称,如 ADFS
  • 选择创建提供商(Create Provider
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

步骤 7:添加映射规则以提供电子邮件属性

  • 在“属性映射”选项卡中,为 SAML 属性键入以下字符串:_http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二) _

  • 对于用户池属性,请选择电子邮件 > 保存

步骤 8:使用应用程序客户端启用 SAML 登录

  • 在 Amazon Cognito 的左侧导航窗格中,选择应用程序客户端设置(App Client Settings.
  • 对于已启用的身份提供商(Enabled Identity Providers,请选择身份提供商名称(例如 ADFS)复选框。
  • 如果您希望禁用非联合用户登录,请清除 Cognito 用户池复选框(Cognito User Pool)。
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

步骤 9:确认 Active Directory 用户的访问权

  • 访问 Kibana 终端节点。

  • 为联合登录选择 ADFS IdP

  • 如果您禁用非联合用户登录,系统将提示您在以下对话框中进行登录:
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

  • 选择将重定向至 ADFS 身份验证控制台的 ADFS。
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

  • 如果您保持允许非联合用户登录,系统将提示您在以下对话框中进行登录。您可以选择要在登录时使用的身份提供商。选择将重定向至 ADFS 身份验证控制台的 ADFS
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

  • 使用 ADFS 登录后,您将被重定向到 Kibana 控制台,并且可以开始使用该控制台。
    利用 Active Directory 联合身份访问基于 Amazon Elasticsearch Service 的 Kibana(二)

小结

在本博文中,我们提供了通过 ADFS 和 SAML 2.0 集成 Active Directory 与 Amazon Elasticsearch Service /Kibana 与 Amazon Cognito 身份验证的过程。

Kibana 是一个适用于数据分析使用案例的强大工具,如应用程序监控、日志分析和点击流分析。我们希望此文可帮助您将 Amazon Elasticsearch Service with 与您的 AD 集成。

请查看我们的 APN 博客系列第二篇:将 Amazon Elasticsearch Service 与 Kibana 结合用于联合身份 – Auth0

作者介绍:

!
复制代码
### 谷雷
AWS APN 合作伙伴解决方案架构师,主要负责 AWS (中国) 合作伙伴的方案架构咨询和设计工作,同时致力于 AWS 云服务在国内的应用及推广。

本文转载自 AWS 技术博客。

原文链接: https://amazonaws-china.com/cn/blogs/china/https-aws-amazon-com-cn-blogs-apn-use-amazon-elasticsearch-service-with-kibana-for-identity-federation-active-directory/

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布