AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment configurer AD FS sur une instance Windows EC2 de manière à prendre en charge la fédération pour un groupe d'utilisateurs Cognito ?

Lecture de 8 minute(s)

Je souhaite utiliser Active Directory Federation Services (AD FS) en tant que fournisseur d'identité (IdP) Security Assertion Markup Language 2.0 (SAML 2.0) avec un groupe d'utilisateurs Amazon Cognito. Je souhaite configurer AD FS sur une instance Windows Amazon Elastic Compute Cloud (Amazon EC2).

Résolution

Utilisez le Gestionnaire de serveur pour configurer un serveur AD FS et un contrôleur de domaine sur une instance Windows EC2. Pour terminer la configuration, vous devez disposer d'un groupe d'utilisateurs Cognito avec un client d'application et d’un nom de domaine dont vous êtes propriétaire. Si vous ne possédez pas de domaine, vous pouvez en enregistrer un nouveau auprès d'Amazon Route 53 ou d'un autre service DNS.

Pour plus d’informations, consultez la section Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?

Configurer et lancer une instance Windows

Procédez comme suit :

Ouvrez la console EC2.
Sélectionnez Lancer l’instance.
Sur la page Choisir une Amazon Machine Image (AMI), choisissez une AMI pour Windows Server, telle que l'AMI de base Microsoft Windows Server 2025.
Sélectionnez votre type d’instance.
Dans Paires de clés, sélectionnez une paire de clés existante dans la liste déroulante ou créez-en une.
Important : Enregistrez le fichier de clé privée .pem de votre paire de clés pour vous connecter à votre instance Windows.
Dans le volet de navigation, choisissez Créer un groupe de sécurité, puis sélectionnez Autoriser le trafic RDP.
Remarque : Pour limiter l'accès au protocole RDP (Remote Desktop Protocol) à votre instance à des adresses IP spécifiques uniquement, remplacez l'adresse IP source de N’importe où par Mon adresse IP ou Personnalisé.
Sélectionnez Lancer.

Associer une adresse IP Elastic à votre instance Windows

Allouez une adresse IP Elastic à votre compte AWS. Puis, associez votre adresse IP Elastic à votre instance Windows.

Utiliser votre adresse IP Elastic pour créer un enregistrement pour votre domaine

Votre domaine pour Active Directory Domain Services (AD DS) doit disposer d'un enregistrement d'adresse IPv4 A avec une adresse IP Elastic comme valeur. Pour créer l'enregistrement, utilisez l'adresse IP Elastic associée à votre instance Windows.

Installer AD DS, IIS et AD FS sur votre instance Windows

Utilisez votre client RDP pour vous connecter à votre instance Windows.

Ouvrez le Gestionnaire de serveur dans Windows, puis utilisez l'assistant d'ajout de rôles et de fonctionnalités pour installer les rôles suivants :

Services de domaine Active Directory
Services de fédération Active Directory
Internet Information Services (IIS)

Pour plus d'informations, consultez la page Installer ou désinstaller des rôles, des services de rôle ou des fonctionnalités sur le site Web de Microsoft.

Configurer AD DS sur votre instance Windows

Pour configurer AD DS, utilisez l'assistant de configuration des services de domaine Active Directory dans le Gestionnaire de serveur. Sur la page Configuration du déploiement, saisissez votre domaine, par exemple example.com. Une fois l'installation de votre configuration terminée, Windows vous informe que vous êtes sur le point d'être déconnecté. Lorsque le serveur redémarre, utilisez votre client RDP pour vous connecter à votre instance Windows.

Pour plus d'informations, consultez la page Installer les services de domaine Active Directory sur le site Web de Microsoft.

Configurer la liaison de site HTTP dans IIS

Dans le Gestionnaire de serveur, utilisez IIS pour modifier la liaison de site HTTP pour votre site Web. Pour plus d'informations, consultez la page Comment ajouter des informations de liaison à un site sur le site Web de Microsoft.

Important : Lorsque vous modifiez la liaison HTTP dans IIS, saisissez votre nom de domaine comme nom d'hôte, par exemple example.com. Ne modifiez pas l'adresse IP (Toutes non attribuées) ni le port (80).

Configurer votre instance Windows pour autoriser les téléchargements de fichiers

Consultez la section Comment configurer une instance Windows EC2 pour autoriser les téléchargements de fichiers via Internet Explorer ?

Demander un certificat numérique pour votre domaine

Un certificat de serveur SSL/TLS est nécessaire pour la liaison HTTPS. Pour demander un certificat tiers pour votre domaine, utilisez un outil de création de certificat tiers autorisé.

Pour plus d'informations, consultez la page Choix d'un certificat sur le site Web de Microsoft.

(Facultatif) Configurer la liaison de site HTTPS dans IIS

Si l'outil de création de certificat que vous utilisez n'ajoute pas automatiquement la liaison de site HTTPS dans IIS, ajoutez-la manuellement.

Pour plus d'informations, consultez la page Créer une liaison SSL sur le site Web de Microsoft.

Configurer AD FS sur votre instance Windows

Pour configurer l'instance Windows en tant que serveur de fédération, utilisez l'assistant de configuration du serveur de fédération AD FS dans le Gestionnaire de serveur.

Pour plus d'informations, consultez la page Préparer et déployer les services de fédération Active Directory - approbation de certificats sur site sur le site Web de Microsoft.

Sur la page Spécifier le compte de service, dans Sélectionner un utilisateur ou un compte de service, choisissez l'utilisateur nommé Administrateur. Puis, saisissez le mot de passe que vous avez utilisé afin que RDP se connecte à l'instance Windows.

Créer un utilisateur dans Active Directory

Pour créer un nouvel utilisateur dans Active Directory, utilisez l'outil Utilisateurs et ordinateurs Active Directory. Ajoutez le nouvel utilisateur au groupe Administrateurs.

Pour plus d'informations, consultez la page Créer un utilisateur et l'ajouter à un groupe sur le site Web de Microsoft.

Ajouter une adresse e-mail pour votre utilisateur Active Directory

Procédez comme suit :

Dans l'outil Utilisateurs et ordinateurs Active Directory, ouvrez (double-cliquez) Utilisateurs pour afficher la liste d’utilisateurs.
Dans la liste d’utilisateurs, recherchez l'utilisateur que vous avez créé. Ouvrez l'utilisateur (cliquez avec le bouton droit de la souris) pour afficher le menu contextuel, puis sélectionnez Propriétés.
Dans la fenêtre Propriétés, pour nom d’utilisateur, saisissez une adresse e-mail valide pour l'utilisateur. L'adresse e-mail est incluse dans l'assertion SAML.

Pour plus d'informations, consultez la page de propriétés générales sur le site Web de Microsoft.

Ajouter l’approbation de partie de confiance avec prise en charge des revendications dans AD FS

Dans le Gestionnaire de serveur, accédez à Outils Gestion AD FS. Pour ajouter une approbation de partie de confiance avec prise en charge des revendications, utilisez l'assistant d'ajout d’approbation de partie de confiance.

Sur la page Configurer l'URL de l'assistant, sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0. Dans URL du service SSO SAML 2.0 de la partie de confiance, saisissez une URL de point de terminaison du consommateur d'assertion, telle que https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse. Remplacez yourDomainPrefix par le préfixe de domaine de votre groupe d'utilisateurs Cognito. Remplacez Region par la région AWS du groupe d'utilisateurs.

Sur la page Configurer les identifiants de l'assistant, dans Identifiant de l’approbation de la partie de confiance, saisissez l’URN urn:amazon:cognito:sp:yourUserPoolID. Remplacez yourUserPoolId par l'ID de votre groupe d'utilisateurs Cognito.

Pour plus d'informations, consultez les pages Utilisation de fournisseurs d'identité SAML avec un groupe d'utilisateurs et Pour créer manuellement une approbation de partie de confiance avec prise en charge des revendications sur le site Web de Microsoft.

Modifier la politique d'émission des revendications de votre application dans AD FS

Utilisez l'assistant d’ajout d’approbation de partie de confiance pour ajouter une règle à l’approbation qui permet d’envoyer les attributs LDAP sous forme de revendications.

Sur la page Configurer la règle, effectuez les étapes suivantes :

Dans Nom de la règle de revendication, saisissez E-mail.
Dans Mémoire d’attributs, sélectionnez Active Directory.
Dans Attribut LDAP, sélectionnez Adresses e-mail.
Dans Type de revendication sortante, sélectionnez Adresse e-mail.

Pour plus d'informations, consultez la page Pour créer une règle permettant d’envoyer les attributs LDAP sous forme de revendications d'une approbation de partie de confiance dans Windows Server 2016 sur le site Web de Microsoft.

Remarque : Associez l'adresse e-mail entrante provenant d'Active Directory à la revendication d'ID de nom de domaine sortant. Les revendications d’ID d’e-mail et d’ID de nom apparaissent alors en tant qu'adresse e-mail de l'utilisateur dans l'assertion SAML de la réponse SAML. Puis, créez une règle permettant d’envoyer les attributs LDAP sous forme de revendications à la place.

Pour plus d'informations, consultez la page Pour créer une règle permettant d’envoyer les attributs LDAP sous forme de revendications pour Windows Server 2012 R2 sur le site Web de Microsoft.

Tester l'URL des métadonnées de l'IdP SAML pour votre serveur

Saisissez l'URL du point de terminaison de document de métadonnées https://example.com/federationmetadata/2007-06/federationmetadata.xml dans votre navigateur Web avec votre domaine.

Si vous êtes invité à télécharger le fichier federationmetadata.xml, cela signifie que vous avez tout configuré correctement. Notez l'URL que vous avez utilisée ou téléchargez le fichier .xml. Vous devez utiliser l'URL ou le fichier pour configurer SAML dans la console Cognito.

Pour plus d'informations, consultez la section Configuration de votre fournisseur d'identité SAML tiers.

Configurer AD FS en tant qu'IdP SAML dans Cognito

Pour obtenir des instructions sur la procédure de configuration d’AD FS en tant qu'IdP SAML dans Cognito, consultez Étape 4 : Terminer la configuration d'Amazon Cognito dans Simplifier l'authentification des applications Web : Guide de la fédération AD FS avec des groupes d'utilisateurs Amazon Cognito.

Informations connexes

Connexion au groupe d'utilisateurs avec des fournisseurs d'identité tiers

Démarrer avec Amazon EC2

Paires de clés Amazon EC2 et instances Amazon EC2

Groupes de sécurité Amazon EC2 pour vos instances EC2

Règles de groupe de sécurité pour différents cas d'utilisation

Sujets: Security, Identity, & Compliance
Balises: Amazon Cognito
Langue: Français

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 2 ans
Héberger des données de santé sur un EC2
benjamin
demandé il y a 5 mois
Besoin d'aide pour repartir un serveur qui a planté
Réponse acceptée
Patrice Simard
demandé il y a 15 jours
Mon instance EC2 c'est remise a zéro hier soir.
Patrice Simard
demandé il y a 16 jours
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a un an
Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment puis-je autoriser mes utilisateurs Active Directory à accéder à l'API ou à l'AWS CLI avec AD FS ?
AWS OFFICIELA mis à jour il y a un an
Comment configurer Google en tant que fournisseur d'identité fédéré dans un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment puis-je synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?
AWS OFFICIELA mis à jour il y a 2 ans