🚱 🚴🏾 🔫 अधिकार के वितरण के साथ एडब्ल्यूएस उपयोगकर्ताओं को अधिकृत करने के लिए एडी फेडरेशन सेवा का उपयोग करना ♍️ 👯 ✍🏾

परिवर्धन और स्पष्टीकरण के साथ जेफ विएर के लेख का नि: शुल्क अनुवाद " सक्रिय सक्रिय निर्देशिका, ADFS और SAML 2.0 का उपयोग करके AWS के लिए फेडरेशन को सक्षम करना "।

1. स्रोत डेटा
2. तैयारी
3. ई। विन्यास
4. ADFS स्थापित करें
5. ADFS को कॉन्फ़िगर करना
6. एडब्ल्यूएस को कॉन्फ़िगर करना
7. परीक्षण
8. ज्ञात त्रुटियों और उनके समाधान

1. स्रोत डेटा

उठाया AD विंडोज 2016
लेखक ने अमेज़ॅन पर विंडोज 2008 आर 2 से ईसी 2 का उपयोग किया, मेरे पास इंटरनेट एक्सेस के साथ स्थानीय विंडोज 2016 नेटवर्क में एक वर्चुअल मशीन है।
AWS खाता (जो सब कुछ के लिए भुगतान करेगा)
सीधे हाथ
उद्देश्य: AD समूह के आधार पर AD उपयोगकर्ता को निर्दिष्ट अधिकारों (भूमिका प्राप्त करने के लिए) के साथ AWS में लॉग इन करने में सक्षम करने के लिए।

ड्राइविंग:

1. उपयोगकर्ता (बॉब होगा) पृष्ठ खोलता है (https://ADFS.domain.name/adfs/ls/IdpInitiatedSignOn.aspx)

2. बॉब अधिकृत है (ADFS AD में आवश्यक फ़ील्ड का अनुरोध करता है)

3. बॉब का ब्राउज़र ADFS से SAML प्रारूप में आवश्यक डेटा प्राप्त करता है

4. ब्राउज़र एसएएमएल प्राधिकरण सेवा (https://signin.aws.amazon.com/saml) को प्राप्त डेटा भेजता है

5. बॉब ब्राउज़र AWS कंसोल के लिए लॉगिन URL हो जाता है

2. तैयारी

2.1। आपने पहले ही AD को उठाया है और उन उपयोगकर्ताओं को शुरू किया है जो विभिन्न समूहों में हैं।

2.2। IIS उठाया (IIS की भूमिका कैसे उठाएं )

2.3। एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र उत्पन्न करें। ( स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र कैसे उत्पन्न करें ) इसे तुरंत डिफ़ॉल्ट साइट के लिए स्थापित करें।

3. ई। विन्यास

3.1। आपको दो समूह AWS-Production और AWS-Billing बनाने की आवश्यकता है

3.2। उपयोगकर्ता बॉब बनाएं (ध्यान दें !!! उपयोगकर्ता को ईमेल फ़ील्ड में भरना चाहिए: bob@youdomain.com, अन्यथा आपको AWS कंसोल में प्रवेश करते समय एक त्रुटि प्राप्त होगी)

3.3। निर्मित एडब्ल्यूएस-प्रोडक्शन और एडब्ल्यूएस-बिलिंग समूह में बॉब जोड़ें

3.4। एक और ADFSSVC उपयोगकर्ता बनाएँ। AD से जुड़ने के लिए विशेष सेवा खाता।

4. ADFS स्थापित करें

ADFS के कई संस्करण हैं

ADFS 1.0 - विंडोज सर्वर 2003 R2 (अतिरिक्त डाउनलोड)
ADFS 1.1 - विंडोज सर्वर 2008 और विंडोज सर्वर 2008 R2
ADFS 2.0 - विंडोज सर्वर 2008 और विंडोज सर्वर 2008 R2 (Microsoft.com से डाउनलोड)
ADFS 2.1 - विंडोज सर्वर 2012
ADFS 3.0 - विंडोज सर्वर 2012 R2 [5]

ADFS 4.0 - विंडोज सर्वर 2016 - हमारी पसंद
ADFS 5.0 - विंडोज सर्वर 2019

लेखक ADFS v2 डाउनलोड करता है और इसे स्थापित करता है।
हम ADFS की भूमिका को बढ़ाएंगे
वहाँ कोई कठिनाई नहीं है, तीन स्क्रीनशॉट आपको अगला बटन क्लिक करने में मदद करेंगे>

स्क्रीनशॉट

मैंने पहले से ही इसे स्थापित किया है इसलिए यह थोड़ा अलग दिखता है।
अगला, अगला, इंस्टॉल करें ...

5. ADFS को कॉन्फ़िगर करना

यह लिंक आपको ADFS विन्यासकर्ता को कॉल करने की अनुमति देता है

वर्तमान उपयोगकर्ता के साथ AD से कनेक्ट करें।

यहां हमें IIS (धारा 2.3) और हमारे भविष्य के ADFS (adfs.you-domain.com) के नाम से प्रमाण पत्र की आवश्यकता है, डिस्प्ले लाइन NAME आपकी कंपनी है

हम उस सेवा खाते ADFSSVC का चयन करते हैं जो हमने धारा 3.4 में बनाया था

एक नया डेटाबेस बनाएँ

जाँच हो रही है ...

प्रीइंस्टॉलेशन चेक ... क्लिक करें कॉन्फ़िगर करें

हो गया।

कंसोल विंडोज़ खोज शब्द में "AD प्रबंधन" के लिए खोज करके शुरू होता है।

इसके बाद, ट्रस्ट रिलेशनशिप पर जाएं और Relying Party Trusts चुनें

राइट बटन -> रैलिंग पार्टी ट्रस्ट जोड़ें

दावों को चुनना

"ऑनलाइन प्रकाशित डेटा पर निर्भर पार्टी को आयात करें ..." का चयन करें और लाइन https://signin.aws.amazon.com/static/saml-metadata.xml दर्ज https://signin.aws.amazon.com/static/saml-metadata.xml यह सभी के लिए समान है और AWS द्वारा प्रदान किया गया है।

अपने विवेक पर " AWS GO " नाम ड्राइव करें या इसे छोड़ दें।

हम "सभी उपयोगकर्ता की अनुमति दें ..." का उपयोग करते हैं, सभी को अनुमति है।

रीचेक और हो गया।

हमारे रिले पर राइट-क्लिक करें और "एडिट क्लेम इश्यू पॉलिसी संपादित करें" चुनें

हम अपने नियमों को जोड़ना शुरू करते हैं:

5.1 एक उपयोगकर्ता नाम प्राप्त करना। साँचा: इनकमिंग क्लेम ट्रांसफ़ॉर्म करें फिर खेतों में भरें:

एक। दावा नियम नाम: NameId
ख। आने वाली दावा प्रकार: विंडोज खाता नाम
सी। निवर्तमान दावा प्रकार: नाम आईडी
घ। निवर्तमान नाम आईडी प्रारूप: स्थायी पहचानकर्ता
ई। सभी दावों के मूल्यों से गुजरें: जाँच की गई

हो गया।

5.2 उपयोगकर्ता के लिए भूमिकाओं की एक सूची प्राप्त करना। साँचा: LDAP विशेषताएँ दावे के रूप में भेजें ,

क्षेत्र:

एक। दावा नियम नाम: भूमिका सत्रनाम
ख। विशेषता स्टोर: सक्रिय निर्देशिका
सी। LDAP विशेषता: ई-मेल-पते
घ। निवर्तमान दावा प्रकार:

 https://aws.amazon.com/SAML/Attributes/RoleSessionName

हो गया

5.3 महत्वपूर्ण नोट: इस नियम में, उपयोगकर्ता के लिए सभी भूमिकाओं को निकाला जाएगा और IAM में समान भूमिकाओं के लिए मैप किया जाएगा (अर्थात, भूमिकाएँ जो AWS -... से शुरू होती हैं)। यह नियम सभी AD सदस्यता प्राप्त करता है। साँचा: कस्टम नियम का उपयोग करके दावे भेजें

, क्षेत्र
एक। दावा नियम नाम: विज्ञापन समूह प्राप्त करें
ख। कस्टम भूमिका:

 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

अगला नियम जोड़ने के लिए, आपको चरण 6 के बाद लौटना होगा (या आप इसे जोड़ सकते हैं और बाद में आईडी बदल सकते हैं)

5.4 एक और नियम जोड़ें जैसे 5.3 यह इस प्रकार होगा:

एक। दावा नियम नाम: Roless
ख। कस्टम भूमिका:

 c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

यहां आपको IAM AWS से अपने लिए मूल्य 123456789012 बदलने की आवश्यकता है

यह खंड 6 में वर्णित किया जाएगा।

6. एडब्ल्यूएस को कॉन्फ़िगर करना

सभी कार्य AWS कंसोल में होते हैं :)

6.1 SAML प्रदाता बनाना

एक। IAM -> पहचान प्रदाता -> प्रदाता बनाएँ
प्रदाता प्रकार - SAML
प्रदाता का नाम - ADFS
मेटाडेटा दस्तावेज़ - इस टाइल को आपके FS सर्वर पर https: ///FederationMetadata/2007-06/FederationMetadata.xml पर लेना (डाउनलोड करना) चाहिए
यदि फ़ाइल अनुपलब्ध है, तो बिंदु 8 देखें - ज्ञात त्रुटियाँ और उनके समाधान

ख। हमारे उपयोगकर्ताओं के लिए दो भूमिकाएँ बनाएँ।
IAM भूमिकाएँ भूमिकाएँ -> भूमिका बनाएँ

आवश्यक नीतियों को स्केच करें (उदाहरण के लिए, उन उपयोगकर्ताओं के लिए बिलिंग (डिफ़ॉल्ट नीति) जो पैसे की निगरानी करेंगे, या आप अपनी स्वयं की नीति बना सकते हैं और इसे यहाँ असाइन कर सकते हैं)

आवश्यक होने पर टैग असाइन करें ...

एक नाम दें: "के बाद का नाम" - "बाद में AD में नाम से मेल खाना चाहिए" - "ASFS- Billing = AWS- बिलिंग उस स्थिति में जब आपका उपयोगकर्ता सही समूह में होगा।

और Create भूमिका पर क्लिक करें

7. परीक्षण

7.1 अपने पसंदीदा ब्राउज़र में, अपने सर्वर पेज पर जाएं https://localhost/adfs/ls/IdpInitiatedSignOn.aspx (एक स्व-हस्ताक्षरित प्रमाण पत्र की पुष्टि करनी होगी)

समान सामग्री वाला पृष्ठ खुल जाएगा।

हमारे उपयोगकर्ता AD का डेटा दर्ज करें

और हम उस भूमिका के प्रस्ताव के साथ AWS पृष्ठ पर पुनर्निर्देशित हो जाते हैं जिसके तहत उपयोगकर्ता AWS में काम करेगा

इसका कारण यह है कि हमारा बॉब एक ही बार में दो विज्ञापन समूहों (AWS-Production और AWS-बिलिंग) में है।

हम AWS-बिलिंग का चयन करते हैं और आवश्यक सेटिंग्स देखते हैं (हम बजट को देख सकते हैं और संपादित कर सकते हैं लेकिन हमारे पास परिभाषित की गई भूमिकाओं के अनुसार EC2 बनाने का कोई अधिकार नहीं है)

8. ज्ञात त्रुटियों और उनके समाधान

8.1 पोर्टल जवाब नहीं देता है या आवश्यक पेज नहीं ढूंढ सकता है। उदाहरण के लिए:

 https://localhost/adfs/ls/IdpInitiatedSignOn.aspx

समाधान: ADFS सर्वर पर, आपको PowerShell कमांड चलाना चाहिए

 Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

आप तुरंत स्वागत पृष्ठ पर लोगो डाल सकते हैं

 Set-AdfsWebTheme -TargetName default -Illustration @{path="C:\path\adfslogo.jpg"}

8.2 AWS कंसोल पर रीडायरेक्ट करने पर, आपको फॉर्म की एक त्रुटि मिलती है:

 RoleSessionName is required in AuthnResponse (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken; Request ID: e4ddf8cd-d7b7-11e9-8729-09c90d2561b0). Please try again

समाधान: सबसे अधिक संभावना है कि आपके उपयोगकर्ता के पास AD में एक ईमेल फ़ील्ड नहीं है

समाधान 2: AD में समूह और AWS में भूमिका लिखने में संभवतः एक गलती है

अधिकार के वितरण के साथ एडब्ल्यूएस उपयोगकर्ताओं को अधिकृत करने के लिए एडी फेडरेशन सेवा का उपयोग करना

More articles: