Wie richte ich AD FS auf einer Amazon EC2-Windows-Instance ein, um mit einem Verbund für einen Amazon Cognito-Benutzerpool zu arbeiten?

Lesedauer: 8 Minute
0

Ich möchte Active Directory Verbund Services (AD FS) als Security Assertion Markup Language 2.0 (SAML 2.0) Identitätsanbieter (IDP) mit einem Amazon Cognito-Benutzerpool verwenden. Wie richte ich AD FS auf einer Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance ein?

Kurzbeschreibung

Verwenden Sie den Server-Manager, um einen AD FS-Server und einen Domänencontroller auf einer EC2-Windows-Instance einzurichten.

Behebung

Bevor Sie beginnen, lesen Sie die Anweisungen unter Wie richte ich AD FS als SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein? Sie benötigen einen Amazon Cognito-Benutzerpool mit einem App-Client, um die Einrichtung in diesem Artikel abzuschließen.

Sie benötigen auch einen Domainnamen, den Sie besitzen. Wenn Sie keine Domain besitzen, können Sie eine neue Domain bei Amazon Route 53 oder einem anderen DNS-Dienst (Domain Name System) registrieren.

Konfiguration und Start einer EC2-Windows-Instance

  1. Öffnen Sie die Amazon EC2-Konsole.
  2. Wählen Sie im Konsolen-Dashboard Instance starten aus, um den Launch Instance Wizard zu starten.
  3. Wählen Sie auf der Seite Amazon Machine Image (AMI) auswählen ein AMI für Windows Server aus, beispielsweise das Microsoft Windows Server 2016 Base AMI. Weitere Informationen finden Sie unter Suchen nach einem Windows-AMI.
  4. Erstellen Sie auf der Seite Sicherheitsgruppe konfigurieren eine Sicherheitsgruppe für Ihre Instance und fügen Sie dann der Sicherheitsgruppe die folgenden Regeln hinzu: Typ: RDP -Quelle: eine IP-Adresse in CIDR-Notation (a.b.c.d/z) oder ein CIDR-Block Hinweis: Für die IP-Adresse oder den Block, den Sie unter Quelle angeben, empfiehlt es sich, einen Satz bekannter zulässiger IP-Adressen zu verwenden. Typ: HTTP Quelle: Irgendwo
    Typ: HTTPS
    Quelle: Irgendwo
    Weitere Informationen finden Sie unter Amazon EC2-Sicherheitsgruppen für Windows-Instances und Hinzufügen von Regeln zu einer Sicherheitsgruppe.
  5. Wählen Sie auf der Seite Review Instance Launch die Option Launch.
  6. Folgen Sie im Dialogfeld Ein vorhandenes Schlüsselpaar auswählen oder ein neues Schlüsselpaar erstellen den Anweisungen, um ein vorhandenes Schlüsselpaar auszuwählen oder ein neues Schlüsselpaar zu erstellen. Weitere Informationen finden Sie unter Amazon EC2-Schlüsselpaare und Linux-Instances. Wichtig: Speichern Sie die Datei mit dem privaten Schlüssel (.pem) für Ihr Schlüsselpaar. Sie verwenden es, um eine Verbindung zu Ihrer EC2-Windows-Instance herzustellen.
  7. Wählen Sie Launch Instances.

Ordnen Sie Ihrer EC2-Windows-Instance eine Elastic IP-Adresse zu

  1. Falls Sie dies noch nicht getan haben, weisen Sie Ihrem AWS-Konto eine Elastic IP-Adresse zu.
  2. Ordnen Sie Ihre Elastic IP-Adresse Ihrer EC2-Windows-Instance zu, sodass Sie eine persistente öffentliche IP-Adresse dafür haben.

Erstellen Sie mithilfe Ihrer Elastic IP-Adresse einen Datensatz für Ihre Domain

Die Domain, die Sie für Active Directory-Domänendienste (AD DS) verwenden, muss einen A-Datensatz (IPv4-Adresse) mit einer Elastic-IP-Adresse als Wert haben. Erstellen Sie diesen Datensatz für Ihre Domain mithilfe der Elastic IP-Adresse, die Ihrer EC2-Windows-Instance zugeordnet ist.

Weitere Informationen finden Sie unter Erstellen von Datensätzen mithilfe der Amazon Route 53-Konsole.

Installieren Sie AD DS, Webserver (IIS) und AD FS auf Ihrer EC2-Windows-Instance

  1. Stellen Sie eine Verbindung zu Ihrer EC2-Windows-Instance her.
  2. Öffnen Sie in Windows den Server-Manager und verwenden Sie dann den Assistenten zum Hinzufügen von Rollen und Funktionen, um die folgenden Rollen zu installieren:
    Active Directory-Domänendienste
    Active Directory-Verbunddienste
    Webserver (IIS)

Weitere Informationen zur Verwendung des Assistenten finden Sie auf der Microsoft-Website unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Funktionen.

Konfigurieren Sie AD DS auf Ihrer EC2-Windows-Instance

  1. Verwenden Sie im Server-Manager den Konfigurationsassistenten für die Active Directory-Domänendienste, um AD DS zu konfigurieren. Weitere Informationen finden Sie auf der Microsoft-Website unter Installieren von AD DS mithilfe des Server-Managers. Folgen Sie den Anweisungen unter So installieren Sie AD DS mithilfe des Server-Managers, beginnend mit Schritt 9. Hinweis: Geben Sie im Assistenten auf der Seite Deployment Configuration Ihre Domain ein (z. B. example.com).
  2. Nachdem die Installation Ihrer Konfiguration abgeschlossen ist, werden Sie von Windows darüber informiert, dass Sie bald abgemeldet werden. Das wird erwartet. Warten Sie einige Minuten, bis der Server neu gestartet wird, und stellen Sie dann erneut eine Verbindung zu Ihrer EC2-Windows-Instance her.

Konfigurieren Sie die HTTP-Site-Bindung in IIS

Verwenden Sie im Server-Manager IIS, um die HTTP -Site-Bindung für Ihre Website zu bearbeiten. Weitere Informationen finden Sie auf der Microsoft-Website unter Hinzufügen verbindlicher Informationen zu einer Website.

Wichtig: Wenn Sie die HTTP-Bindung in IIS bearbeiten, geben Sie als Hostname Ihren Domainnamen ein (z. B. example.com). Ändern Sie jedoch nicht die IP-Adresse (All Unassigned) oder den Port (80).

Konfigurieren Sie Ihre EC2-Windows-Instance so, dass Dateidownloads zugelassen sind

Weitere Informationen finden Sie unter Wie konfiguriere ich eine EC2-Windows-Instance, um Dateidownloads mit Internet Explorer zuzulassen?

Fordern Sie ein digitales Zertifikat für Ihre Domain an

Sie benötigen ein SSL-Serverzertifikat für die HTTPS-Bindung für Ihre IIS-Website. Fordern Sie ein Drittanbieter-Zertifikat für Ihre Domain an, indem Sie ein von Ihnen bevorzugtes vertrauenswürdiges Tool zur Erstellung von Drittanbieter-Zertifikaten herunterladen und verwenden.

Weitere Informationen finden Sie auf der Microsoft-Website unter Auswählen eines Zertifikats.

(Optional) Konfigurieren Sie die HTTPS-Site-Bindung in IIS

Wenn das von Ihnen verwendete Tool zur Zertifikatserstellung die HTTPS-Site-Bindung in IIS nicht automatisch hinzufügt, fügen Sie die Site-Bindung selbst hinzu, wie Sie es zuvor für http getan haben.

Weitere Informationen finden Sie unter Erstellen einer SSL-Bindung auf der Microsoft-Website.

Konfigurieren Sie AD FS auf Ihrer EC2-Windows-Instance

Verwenden Sie im Server-Manager den AD FS-Verbundserver-Konfigurationsassistenten, um die EC2-Windows-Instance als Verbundserver zu konfigurieren. Weitere Informationen finden Sie unter Windows Server 2008 oder 2008 R2 Domain Controllers auf der Microsoft-Website.

Hinweis: Wenn Sie auf der Seite Dienstkonto angeben des Assistenten das Dialogfeld Benutzer oder Dienstkonto auswählen aufrufen, wählen Sie den Benutzer Administrator aus und geben Sie dann das Passwort ein, das Sie für Remote Desktop verwendet haben, um eine Verbindung zur EC2-Windows-Instance herzustellen.

Erstellen Sie einen Benutzer in Active Directory

Verwenden Sie das Werkzeug Active Directory-Benutzer und -Computer, um einen neuen Benutzer in Active Directory zu erstellen. Fügen Sie den neuen Benutzer der Gruppe Administratoren hinzu.

Weitere Informationen finden Sie auf der Microsoft-Website unter Benutzer erstellen und zu einer Gruppe hinzufügen.

Fügen Sie eine E-Mail-Adresse für Ihren Active Directory-Benutzer hinzu

  1. Nachdem Sie einen neuen Benutzer erstellt haben, doppelklicken Sie im Tool Active Directory-Benutzer und -Computer auf Benutzer, um die Benutzerliste zu öffnen.
  2. Suchen Sie in der Benutzerliste nach dem Benutzer, den Sie erstellt haben. Klicken Sie mit der rechten Maustaste auf den Benutzer, um das Kontextmenü zu öffnen, und wählen Sie dann Eigenschaften.
  3. Geben Sie im Eigenschaftenfenster für den Benutzernamen und für E-Mail eine gültige E-Mail-Adresse für den Benutzer ein. Diese E-Mail-Adresse ist später in der SAML-Assertion enthalten.

Weitere Informationen finden Sie auf der Microsoft-Website auf der Seite Allgemeine Eigenschaften.

Fügen Sie eine vertrauenswürdige Partei hinzu, die sich auf AD FS verlässt

Hinweis: Für diesen Teil benötigen Sie Informationen aus Ihrem Amazon Cognito-Benutzerpool in der Amazon Cognito-Konsole. Weitere Informationen finden Sie unter Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool.

Verwenden Sie im Server-Manager den Assistenten zum Hinzufügen vertrauender Parteien, um eine vertrauende Partei hinzuzufügen, die Ansprüche berücksichtigt.
Wählen Sie auf der Seite URL konfigurieren des Assistenten die Option Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren. Geben Sie für die SAML 2.0-SSO-Dienst-URL für Relying Party eine Assertion-Consumer-Endpunkt-URL ein, die wie folgt formatiert ist: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse
Hinweis: Ersetzen Sie yourDomainPrefix durch das Domain-Präfix Ihres Amazon Cognito-Benutzerpools. Ersetzen Sie die Region durch die AWS-Region des Benutzerpools (z. B. "us-east-1").

Geben Sie auf der Seite Identifiers konfigurieren des Assistenten für Vertrauenskennung der vertrauenden Seite die folgende URN ein: urn:amazon:cognito:sp:yourUserPoolID
Hinweis: Ersetzen Sie YourUserPoolId durch die ID Ihres Amazon Cognito-Benutzerpools (zum Beispiel "us-east-1_g2zxiEbac").

Weitere Informationen finden Sie auf der Microsoft-Website unter So erstellen Sie manuell ein Claimaware Relying Party Trust.

Bearbeiten Sie die Richtlinien für die Ausstellung von Anträgen in AD FS

Fügen Sie dem von Ihnen erstellten Trust eine Regel hinzu, um LDAP-Attribute als Ansprüche zu senden. Verwenden Sie den Assistenten zum Hinzufügen von Vertrauenspersonen, um die Regel hinzuzufügen. Gehen Sie auf der Seite Regel konfigurieren wie folgt vor:

  • Geben Sie als Name der Anspruchsregel E-Mailein.
  • Wählen Sie für den Attributspeicher Active Directory.
  • Wählen Sie für das LDAP-Attribut die Option E-Mail-Adressen.
  • Wählen Sie für die Art des Outgoing Claim Type die Option E-Mail-Adresse.

Weitere Informationen finden Sie auf der Microsoft-Website unter So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine vertrauenswürdige Partei in Windows Server 2016.

Hinweis: Damit sowohl die E-Mail-ID- als auch die Name-ID-Ansprüche als E-Mail-Adresse des Benutzers in der SAML-Assertion in der SAML-Antwort erscheinen, ordnen Sie die eingehende E-Mail-Adresse aus Active Directory dem ausgehenden Name-ID-Anspruch zu. Wenn Sie diesen Ansatz verwenden, erstellen Sie eine Regel, um stattdessen LDAP-Attribute als Ansprüche zu senden. Weitere Informationen finden Sie auf der Microsoft-Website unter So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Claims für Windows Server 2012 R2.

Testen Sie die SAML-IdP-Metadaten-URL für Ihren Server

Geben Sie die Endpunkt-URL des Metadatendokuments in Ihren Webbrowser ein, nachdem Sie **example.com **durch Ihre Domain ersetzt haben:

https://example.com/federationmetadata/2007-06/federationmetadata.xml

Wenn Sie aufgefordert werden, die Datei **federationmetadata.xml **herunterzuladen, ist alles korrekt konfiguriert. Notieren Sie sich die URL, die Sie hier verwendet haben, oder laden Sie die XML-Datei herunter. Sie benötigen entweder die URL oder die Datei, um SAML in der Amazon Cognito-Konsole zu konfigurieren. Weitere Informationen finden Sie unter Integration von SAML-Identitätsanbietern von Drittanbietern in Amazon Cognito-Benutzerpools.

AD FS als SAML-IdP in Amazon Cognito konfigurieren

Nachdem Sie alle Schritte in diesem Artikel abgeschlossen haben, setzen Sie die Einrichtung in der Amazon Cognito-Konsole fort. Weitere Informationen finden Sie unter Wie richte ich AD FS als SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?


Weitere Informationen

Hinzufügen einer Benutzerpool-Anmeldung über einen Drittanbieter

Anleitung: Erste Schritte mit Amazon EC2 Windows-Instances

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren