¿Cómo configuro AD FS en una instancia EC2 de Windows para que funcione con federación para un grupo de usuarios de Amazon Cognito?

10 minutos de lectura
0

Quiero utilizar los servicios de federación de Active Directory (AD FS) como proveedor de identidades (IdP) del lenguaje de marcado para confirmaciones de seguridad 2.0 (SAML 2.0) con un grupo de usuarios de Amazon Cognito. ¿Cómo configuro AD FS en una instancia Windows de Amazon Elastic Compute Cloud (Amazon EC2)?

Breve descripción

Utilice el Administrador de servidores para configurar un servidor AD FS y un controlador de dominio en una instancia EC2 de Windows.

Resolución

Antes de comenzar, consulte las instrucciones de How do I set up AD FS as a SAML identity provider with an Amazon Cognito user pool? Necesita un grupo de usuarios de Amazon Cognito con un cliente de aplicación para completar la configuración de este artículo.

También necesita un nombre de dominio de su propiedad. Si no posee un dominio, puede registrar uno nuevo con Amazon Route 53 u otro servicio del sistema de nombres de dominio (DNS).

Configurar y lanzar una instancia EC2 de Windows

  1. Abra la consola de Amazon EC2.
  2. En el panel de la consola, seleccione Lanzar instancia para iniciar el asistente de lanzamiento de instancias.
  3. En la página Elegir una imagen de máquina de Amazon (AMI), seleccione una AMI para Windows Server, como la AMI base de Microsoft Windows Server 2016. Para más información, consulte Buscar una AMI de Windows.
  4. En la página Configurar el grupo de seguridad, cree un grupo de seguridad para su instancia y, a continuación, añada las siguientes reglas: Tipo: Origen RDP: una dirección IP en notación CIDR (a.b.c.d/z), o un bloque CIDR Nota: Para la dirección IP o el bloque que especifique en Origen, es una práctica recomendada utilizar un conjunto de direcciones IP permitidas y conocidas. Tipo: Fuente HTTP: Cualquier lugar
    Tipo: Fuente
    HTTPS: Cualquier lugar
    Para más información, consulte Grupos de seguridad de Amazon EC2 para instancias Windows y Agregar reglas a un grupo de seguridad.
  5. En la página Review Instance Launch, seleccione Lanzar.
  6. En el cuadro de diálogo Seleccionar un par de claves existente o crear un nuevo par de claves, siga las instrucciones para elegir un par de claves existente o crear un nuevo par de claves. Para más información, consulte Pares de claves de Amazon EC2 e instancias de Linux. Importante: Guarde el archivo .pem de clave privada para su par de claves. Se utiliza para conectarse a su instancia EC2 de Windows.
  7. Elija Lanzar instancias.

Asociar una dirección IP elástica a su instancia EC2 de Windows

  1. Si aún no lo ha hecho, asigne una dirección IP elástica a su cuenta de AWS.
  2. Asocie su dirección IP elástica con su instancia EC2 de Windows para disponer de una dirección IP pública persistente para ello.

Crear un registro para su dominio al utilizar su dirección IP elástica

El dominio que utilice para los servicios de dominio de Active Directory (AD DS) debe tener un registro A (dirección IPv4) con una dirección IP elástica como valor. Cree dicho registro para su dominio al utilizar la dirección IP elástica asociada a su instancia EC2 de Windows.

Para más información, consulte Creating records by using the Amazon Route 53 console.

Instalar AD DS, el servidor web (IIS) y AD FS en su instancia EC2 de Windows

  1. Conéctese a su instancia EC2 de Windows.
  2. En Windows, abra el Administrador de servidores y, a continuación, utilice el Asistente para agregar funciones y características para instalar las siguientes funciones:
    Servicios de dominio de Active Directory
    Servicios de federación de Active Directory
    Servidor web (IIS)

Para más información sobre el uso del asistente, consulte Instalación o desinstalación de roles, servicios de rol o características en el sitio web de Microsoft.

Configurar AD DS en su instancia EC2 de Windows

  1. En el Administrador de servidores, utilice el Asistente de configuración de los servicios de dominio de Active Directory para configurar AD DS. Para más información, consulte Installing AD DS by using Server Manager en el sitio web de Microsoft. Siga las instrucciones de To install AD DS by using Server Manager y empiece por el paso 9. Nota: En el asistente, en la página Configuración del despliegue, introduzca su dominio (por ejemplo, ejemplo.com).
  2. Después de que su configuración termine de instalarse, Windows le notificará que está a punto de cerrar la sesión. Este es el comportamiento esperado. Espere unos minutos a que se reinicie el servidor y vuelva a conectarse a su instancia EC2 de Windows.

Configurar la vinculación de sitios http en IIS

En el Administrador de servidores, utilice IIS para editar el enlace http de su sitio web. Para más información, consulte Cómo agregar información de enlace a un sitio en el sitio web de Microsoft.

Importante: Al editar el enlace http en IIS, en Nombre de host, introduzca el nombre de su dominio (por ejemplo, ejemplo.com). Sin embargo, no cambie la dirección IP (Todas sin asignar) ni el puerto (80).

Configurar su instancia EC2 de Windows para permitir la descarga de archivos

Para más información, consulte How do I configure an EC2 Windows instance to allow file downloads using Internet Explorer?

Solicitar un certificado digital para un dominio

Necesita un certificado de servidor SSL para la vinculación HTTPS de su sitio web IIS. Solicite un certificado de terceros para su dominio mediante la descarga y posterior utilización de la herramienta de creación de certificados de terceros de confianza que prefiera.

Para más información, consulte Elección de un certificado en el sitio web de Microsoft.

(Opcional) Configurar la vinculación de sitios HTTPS en IIS

Si la herramienta de creación de certificados que ha utilizado no añade automáticamente la vinculación de sitios https en IIS, añádala usted mismo, como hizo anteriormente para http.

Para más información, consulte Creación de un enlace SSL en el sitio web de Microsoft.

Configurar AD FS en su instancia EC2 de Windows

En el Administrador de servidores, utilice el Asistente de configuración del servidor de federación AD FS para configurar la instancia EC2 de Windows como servidor de federación. Para más información, consulte Windows Server 2008 or 2008 R2 Domain Controllers en el sitio web de Microsoft.

Nota: En la página Especificar cuenta de servicio del asistente, cuando llegue al cuadro de diálogo Seleccionar usuario o cuenta de servicio, seleccione el usuario denominado Administrador y, a continuación, introduzca la contraseña que utilizó en el Escritorio remoto para conectarse a la instancia EC2 de Windows.

Crear un usuario en Active Directory

Utilice la herramienta Usuarios y equipos de Active Directory para crear un nuevo usuario en Active Directory. Añada el nuevo usuario al grupo Administradores.

Para más información, consulte Creación de un usuario e incorporación de este a un grupo en el sitio web de Microsoft.

Añadir una dirección de correo electrónico para su usuario de Active Directory

  1. Tras crear un nuevo usuario, en la herramienta Usuarios y equipos de Active Directory, haga doble clic en Usuarios para abrir la lista de usuarios.
  2. En la lista de usuarios, busque el usuario que ha creado. Haga clic con el botón derecho del ratón sobre el usuario para abrir el menú contextual y, a continuación, seleccione Propiedades.
  3. En la ventana Propiedades, para el nombre de usuario, en Correo electrónico, introduzca una dirección de correo electrónico válida para el usuario. Esta dirección de correo electrónico se incluye posteriormente en la aserción SAML.

Para más información, consulte la página de propiedades General en el sitio web de Microsoft.

Añadir una relación de confianza para usuario autenticado compatible con notificaciones en AD FS

Nota: Para esta parte, necesita información de su grupo de usuarios de Amazon Cognito en la consola de Amazon Cognito. Para más información, consulte Agregar proveedores de identidad SAML a un grupo de usuarios.

En el Administrador de servidores, utilice el Asistente para añadir relación de confianza para usuario autenticado para añadir una relación de confianza para usuario autenticado compatible con notificaciones.
En la página Configurar URL del asistente, seleccione Habilitar soporte para el protocolo SAML 2.0 WebSSO. Para URL de servicio SAML 2.0 SSO del usuario autenticado, introduzca una URL de punto de conexión de consumidor de aserción, con el siguiente formato: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse
Nota: Sustituya yourDomainPrefix por el prefijo de dominio de su grupo de usuarios de Amazon Cognito. Sustituya region por la región AWS del grupo de usuarios (por ejemplo, «us-east-1»).

En la página Configurar identificadores del asistente, para Identificador de relación de confianza para un usuario autenticado, introduzca este URN: urn:amazon:cognito:sp:yourUserPoolID
Nota: Sustituya yourUserPoolID por el ID de su grupo de usuarios de Amazon Cognito (por ejemplo, «us-east-1_g2zxiEbac»).

Para más información, consulte Creación de una relación de confianza para usuario autenticado compatible con notificaciones manualmente en el sitio web de Microsoft.

Editar la política de emisión de notificaciones de su aplicación en AD FS

Añada una regla a la confianza creada para enviar atributos LDAP como notificaciones. Utilice el Asistente para añadir una relación de confianza para un usuario autenticado para añadir la regla. En la página Configurar regla, haga lo siguiente:

  • En Nombre de la regla de notificación, introduzca Correo electrónico.
  • En Almacén de atributos, elija Active Directory.
  • En Atributo LDAP, elija Direcciones de correo electrónico.
  • En Tipo de notificación saliente, seleccione Dirección de correo electrónico.

Para más información, consulte Para crear una regla para enviar atributos LDAP como notificaciones para una Relación de confianza para usuario autenticado en Windows Server 2016 en el sitio web de Microsoft.

Nota: Para que tanto la notificación de ID de correo electrónico como la de ID de nombre aparezcan como la dirección de correo electrónico del usuario en la aserción SAML de la respuesta SAML, asigne la dirección de correo electrónico entrante desde Active Directory a la notificación saliente de ID de nombre. Si utiliza ese método, cree una regla para enviar atributos LDAP como notificaciones en su lugar. Para más información, consulte Para crear una regla para enviar atributos LDAP como notificaciones a Windows Server 2012 R2 en el sitio web de Microsoft.

Probar la URL de metadatos del IdP SAML para su servidor

Introduzca la URL de este punto de conexión del documento de metadatos en su navegador web tras sustituir example.com por su dominio:

https://example.com/federationmetadata/2007-06/federationmetadata.xml

Si se le pide que descargue el archivo federationmetadata.xml, es que todo está configurado correctamente. Anote aquí la URL que ha utilizado o descargue el archivo .xml. Necesita la URL o el archivo para configurar SAML en la consola de Amazon Cognito. Para más información, consulte Integración de proveedores de identidad SAML de terceros con grupos de usuarios de Amazon Cognito.

Configurar AD FS como IdP SAML en Amazon Cognito

Una vez completados todos los pasos de este artículo, continúe con la configuración en la consola de Amazon Cognito. Para más información, consulte How do I set up AD FS as a SAML identity provider with an Amazon Cognito user pool?


Información relacionada

Agregar el inicio de sesión de un grupo de usuarios a través de un tercero

Tutorial: Getting started with Amazon EC2 Windows instances

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 años