AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

为 AWS 北京区管理控制台集成 ADFS 访问

  • 2019-11-20
  • 本文字数:2323 字

    阅读完需:约 8 分钟

为AWS北京区管理控制台集成ADFS访问

在我们使用 AWS 的过程中, AWS IAM 是我们接触的第一个服务, 它具有强大的功能,可使您在 AWS IAM 中通过管理用户, 用户组, 策略, 角色, 证书, 密钥等来灵活而精确的控制对 AWS 服务和资源的访问和权限. 同时在很多企业内部, 一般都已经部署了自己的用户管理及授权系统, 如何将 AWS 的用户管理及授权纳入现有系统则成为企业的想要解决的一个问题. 本文将介绍如何将企业内部 Windows 活动目录(Active Directory)和 AWS 通过 ADFS(Active Directory Service) 进行集成, 从而实现在活动目录中管理用户对 AWS 服务和资源的访问和授权.


在 AWS IAM 中, 我们提供了对 SAML 的支持, 这个功能可以让我们可以和支持该标准的身份提供商进行联合从而实现单点登陆. 对于很多使用微软活动目录的企业, 我们可以使用 Windows 自带的 ADFS 进行和 AWS IAM 的集成.


工作原理:


在我们进行详细配置之前, 可以先看一下工作原理:




    配置活动目录:



      安装部署 Active Directory Federation Service


      我们可以参考如下的文档部署 ADFS 服务


      https://technet.microsoft.com/en-us/library/dn486775.aspx


      导出 SAML Metadata Document


      访问 ADFS 服务器并导出 SAML Metadata Document (将 ADFS 换成你 ADFS 服务器的名称)


      https://ADFS/FederationMetadata/2007-06/FederationMetadata.xml


      配置 AWS










              配置 ADFS 将 AWS 作为 信赖方信任









                      https://signin.amazonaws.cn/static/saml-metadata.xml












                                1. 点击 关闭, 并打开编辑声明规则



                                为 AWS 信赖方信任 建立 声明规则



















                                                  c:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”, Issuer == “AD AUTHORITY”]


                                                  => add(store = “Active Directory”, types = (“http://temp/variable”), query = “;tokenGroups;{0}”, param = c.Value);



                                                  1. 再次点击 添加规则



                                                  1. 选择 使用自定义规则发送声明, 点击下一步



                                                  1. 声明规则名称 输入 Roles, 自定义规则中输入以下文本 (这部分主要是用来映射 AD 中的用户组 和 AWS 中的角色之间的对应关系, 其中红色部分需要根据我们前面所建的 AD 用户组名称 和 身份提供商的 ARN 和角色的 ARN 调整), 点击完成


                                                  c:[Type == “http://temp/variable”, Value =~ “(?i)^AWSBJS-“]


                                                  => issue(Type = “https://aws.amazon.com/SAML/Attributes/Role”, Value = RegExReplace(c.Value, “AWSBJS-“, “arn:aws-cn:iam::761602622223:saml-provider/ADFS,arn:aws-cn:iam::761602622223:role/ADFSBJS-“));



                                                  1. 重新启动 Active Directory Federation Service



                                                  测试配置效果










                                                          总结:


                                                          上述是将 ADFS 和 AWS 管理控制台集成从而实现使用 AD 账号系统登录访问 AWS 管理控制台的详细流程. 同时我们还可以通过调整 ADFS 本身的身份验证策略来实现多重验证等功能.


                                                          本文转载自 AWS 技术博客。


                                                          原文链接:


                                                          https://amazonaws-china.com/cn/blogs/china/adfs-bjs/


                                                          2019-11-20 08:00864

                                                          评论

                                                          发布
                                                          暂无评论
                                                          发现更多内容

                                                          云计算国内外发展现状

                                                          阿炜小菜鸡

                                                          云计算 8月月更

                                                          gulp

                                                          Jason199

                                                          js gulp 8月月更

                                                          6 个你必须明白 Vue3 的 ref 和 reactive 问题(入门篇)

                                                          Geek_z9ygea

                                                          JavaScript 前端开发 vuejs 8月月更

                                                          第1章:初识数据库与MySQL----MySQL安装

                                                          乌龟哥哥

                                                          8月月更

                                                          东西向和南北向通信的统一

                                                          阿泽🧸

                                                          8月月更

                                                          2022-Java后端工程师面试指南-(Elasticsearch)

                                                          自然

                                                          Elastic Search 8月月更

                                                          目标检测技术研究现状及发展趋势

                                                          阿炜小菜鸡

                                                          目标检测 8月月更

                                                          Build QEMU RISC-V Linux

                                                          贾献华

                                                          8月月更

                                                          【CSS】设置文本样式,包括文本颜色、对齐、缩进、行高等

                                                          翼同学

                                                          CSS HTML5, CSS3 8月月更

                                                          FinClip,助长智能电视更多想象空间

                                                          Geek_99967b

                                                          小程序

                                                          免费的公共WiFi不要乱连,遭中间人攻击了吧?

                                                          wljslmz

                                                          网络安全 签约计划第三季 8月月更 中间人攻击

                                                          带你造轮子,自定义一个随意拖拽可吸边的悬浮View组件

                                                          yechaoa

                                                          android 开源 签约计划第三季 8月月更

                                                          现网设备兼容SRv6网络演进

                                                          穿过生命散发芬芳

                                                          8月月更 SRv6

                                                          互联网用户账号信息管理规定今起施行:必须严打账号买卖灰产

                                                          石头IT视角

                                                          golang写的存储引擎,基于b+树,mmap

                                                          Alber

                                                          FinClip,车载小程序新玩法

                                                          Geek_99967b

                                                          小程序

                                                          Vue是什么?Vue和jQuery

                                                          flow

                                                          8月月更

                                                          FinClip最易用的智能电视小程序

                                                          Geek_99967b

                                                          小程序

                                                          系统管理-Linux系统文件查找

                                                          Albert Edison

                                                          Linux centos linux 文件权限控制 find 8月月更

                                                          从0到1看支付

                                                          自然

                                                          支付系统 后端开发 支付网关 签约计划第三季

                                                          AOSP CameraLatencyHistogram的原理与使用

                                                          桑榆

                                                          Android; 8月月更

                                                          【大厂面试真题解析】虾皮 Shopee 后端一面十四问

                                                          面试官问

                                                          面试 后端 面试题 Shopee 虾皮

                                                          一文带你了解 Java 中的构造器

                                                          踏雪痕

                                                          Java 构造函数 8月月更

                                                          开源一夏 |如何优化线上服务器

                                                          叶秋学长

                                                          开源 服务器 8月月更

                                                          电商秒杀系统

                                                          极客土豆

                                                          目标检测的国内外研究现状

                                                          阿炜小菜鸡

                                                          目标检测 8月月更

                                                          SRE运维解密-什么是SRE:DevOps模型的具体实践!

                                                          董哥的黑板报

                                                          DevOps 运维 云原生 SRE Google

                                                          LeetCode第三题(Longest Substring Without Repeating Characters)三部曲之三:两次优化

                                                          程序员欣宸

                                                          Java LeetCode 8月月更

                                                          化算力为战力:宁夏中卫的数字化转型启示录

                                                          脑极体

                                                          2022-Java后端工程师必会知识点-(操作系统)

                                                          自然

                                                          操作系统 8月月更

                                                          为AWS北京区管理控制台集成ADFS访问_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章