Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Come posso configurare AD FS su un'istanza EC2 Windows in modo che funzioni con la federazione per un pool di utenti Cognito?
Desidero utilizzare Active Directory Federation Services (ADFS) come gestore dell'identità digitale Security Assertion Markup Language 2.0 (SAML 2.0) con un pool di utenti Amazon Cognito. Desidero configurare AD FS su un'istanza Windows di Amazon Elastic Compute Cloud (Amazon EC2).
Risoluzione
Utilizza Server Manager per configurare un server AD FS e un controller di dominio in un'istanza EC2 Windows. Per completare la configurazione, devi avere un pool di utenti Cognito con un client per l'app e un nome di dominio di proprietà. Se non hai un dominio, puoi registrare un nuovo dominio con Amazon Route 53 o un altro servizio DNS.
Per ulteriori informazioni, consulta Come posso configurare AD FS come gestore dell'identità digitale SAML con un pool di utenti Amazon Cognito?
Configura e avvia un'istanza Windows
Completa i seguenti passaggi:
- Apri la console EC2.
- Scegli Avvia istanza.
- Nella pagina Scegli un'Amazon Machine Image (AMI), scegli un'AMI per Windows Server, ad esempio l'AMI di base di Microsoft Windows Server 2025.
- Seleziona il tipo di istanza.
- Per Coppie di chiavi, seleziona una coppia di chiavi esistente dall'elenco a discesa o crea una nuova coppia di chiavi.
Importante: salva il file .pem della chiave privata della coppia di chiavi per connetterti all'istanza Windows. - Nel pannello di navigazione, scegli Crea gruppo di sicurezza, quindi seleziona Allow RDP traffic (Consenti traffico RDP).
Nota: per limitare solo a indirizzi IP specifici l'accesso RDP (Remote Desktop Protocol) all'istanza , modifica l'indirizzo IP di origine da Ovunque a Il mio IP o Personalizzato. - Scegli Avvia.
Associa un indirizzo IP elastico all'istanza Windows
Assegna un indirizzo IP elastico all'account AWS.Quindi associa l'indirizzo IP Elastic all'istanza Windows.
Utilizza l'indirizzo IP elastico per creare un record per il dominio
Il dominio per Active Directory Domain Services (AD DS) deve avere un record di indirizzo IPv4 A con un indirizzo IP elastico come valore. Per creare il record, utilizza l'indirizzo IP elastico associato all'istanza Windows.
Installa AD DS, IIS e AD FS sull'istanza Windows
Utilizza il client RDP per connetterti all'istanza Windows.
Apri Server Manager in Windows, quindi utilizza la procedura guidata per l'aggiunta di ruoli e funzionalità per installare i seguenti ruoli:
- Servizi di dominio Active Directory
- Servizi federativi Active Directory
- Servizi di informazione Internet (IIS)
Per ulteriori informazioni, consulta Aggiungere o rimuovere ruoli e funzionalità in Windows Server sul sito web Microsoft.
Configura AD DS nell'istanza Windows
Per configurare AD DS, utilizza la procedura guidata di configurazione dei servizi di dominio Active Directory in Server Manager. Nella pagina Configurazione della distribuzione, inserisci il dominio, ad esempio esempio.com. Una volta completata l'installazione della configurazione, Windows ti avvisa che stai per essere disconnesso. Al riavvio del server, utilizza il client RDP per connetterti all'istanza Windows.
Per ulteriori informazioni, consulta Installare Servizi di dominio Active Directory sul sito web Microsoft.
Configura l'associazione del sito HTTP in IIS
In Server Manager, utilizza IIS per modificare l'associazione HTTP del sito Web. Per ulteriori informazioni, consulta Come aggiungere informazioni di associazione a un sito sul sito web Microsoft.
Importante: quando modifichi l'associazione HTTP in IIS, inserisci il nome di dominio come nome host, ad esempio esempio.com. Non modificare l'indirizzo IP (Tutti non assegnati) o la porta (80).
Configura l’istanza Windows per consentire il download di file
Richiedi un certificato digitale per il dominio
È necessario un certificato del server SSL/TLS per l'associazione HTTPS. Per richiedere un certificato di terze parti per il dominio, utilizza uno strumento per la creazione di certificati di terze parti attendibile.
Per ulteriori informazioni, consulta Scelta di un certificato sul sito web Microsoft.
(Facoltativo) Configura l'associazione HTTPS del sito in IIS
Se lo strumento per la creazione di certificati che utilizzi non aggiunge automaticamente l'associazione al sito HTTPS in IIS, aggiungila manualmente.
Per ulteriori informazioni, consulta Creare un'associazione SSL sul sito web Microsoft.
Configura AD FS nell’istanza Windows
Per configurare l'istanza Windows come server federativo, utilizza la procedura guidata di configurazione del server federativo AD FS in Server Manager.
Per ulteriori informazioni, consulta Preparare e distribuire Active Directory Federation Services - Attendibilità del certificato locale sul sito web Microsoft.
Nella pagina Specifica account di servizio, per Seleziona utente o account di servizio, scegli l'utente denominato Amministratore. Quindi inserisci la password che hai utilizzato per RDP per connetterti all'istanza Windows.
Crea un utente in Active Directory
Per creare un nuovo utente in Active Directory, utilizza lo strumento Utenti e computer di Active Directory. Aggiungi il nuovo utente al gruppo Amministratori.
Per ulteriori informazioni, consulta Creare un utente e aggiungerlo a un gruppo sul sito web Microsoft.
Aggiungi un indirizzo e-mail per l'utente Active Directory
Completa i seguenti passaggi:
- Nello strumento Utenti e computer di Active Directory, apri (facendo doppio clic) Utenti per visualizzare l'elenco degli utenti.
- Nell'elenco degli utenti, individua l'utente che hai creato. Fai clic con il pulsante destro del mouse sull'utente per aprire il menu di scelta rapida, quindi scegli Proprietà.
- Nella finestra Proprietà, per nome utente, inserisci un indirizzo e-mail valido per l'utente. L'indirizzo e-mail è incluso nell'asserzione SAML.
Per ulteriori informazioni, vedere Pagina delle proprietà Generale sul sito web Microsoft.
Aggiungi l'attendibilità di una relying party consapevole delle attestazioni in AD FS
In Server Manager, accedi a Strumenti > Gestione AD FS. Per aggiungere l'attendibilità di una relying party consapevole delle attestazioni, utilizza la procedura guida per l'aggiunta dell'attendibilità di una relying party.
Nella pagina Configura URL della procedura guidata, seleziona Abilita supporto per il protocollo WebSSO SAML 2.0. Come URL del servizio SSO SAML 2.0 della relying party, inserisci un URL dell'endpoint consumer di asserzione come https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse. Sostituisci yourDomainPrefix con il prefisso di dominio del tuo pool di utenti Cognito. Sostituisci Region con la Regione AWS del pool di utenti.
Nella pagina Configura identificatori della procedura guidata, in Identificatori di attendibilità della relying party, inserisci l'URN urn:amazon:cognito:sp:yourUserPoolID. Sostituisci ** yourUserPoolID** con l'ID del tuo pool di utenti Cognito.
Per ulteriori informazioni, consulta Utilizzo di gestori dell'identità digitale SAML con un pool di utenti e To create a claims aware Relying Party Trust manually (Creare manualmente l'attendibilità di una relying party consapevole delle attestazioni) sul sito web di Microsoft.
Modifica la politica di emissione delle attestazioni dell’applicazione in AD FS
Utilizza la procedura guidata per l'aggiunta dell’attendibilità di una relying party per aggiungere una regola all'attendibilità in modo che invii gli attributi LDAP come attestazioni.
Nella pagina Configura regola, completa i seguenti passaggi:
- In Nome regola attestazione, inserisci E-mail.
- In Archivio attributi, scegli Active Directory.
- In Attributo LDAP, scegli Indirizzi e-mail.
- Per Tipo di attestazione in uscita, scegli Indirizzo e-mail.
Per ulteriori informazioni, consulta Per creare una regola per inviare attributi LDAP come attestazioni per un trust della parte affidabile in Windows Server 2016 sul sito web Microsoft.
Nota: mappa l'indirizzo e-mail in entrata da Active Directory sull'attestazione Name ID in uscita. Le attestazioni Email ID e Name ID vengono quindi visualizzate come indirizzo e-mail dell'utente nell'asserzione SAML nella risposta SAML. Quindi crea una regola per inviare al loro posto gli attributi LDAP come attestazioni.
Per ulteriori informazioni, consulta Per creare una regola per inviare attributi LDAP come attestazioni per Windows Server 2012 R2 sul sito web Microsoft.
Verifica l'URL dei metadati del gestore dell'identità digitale SAML per il server
Inserisci l'URL dell'endpoint del documento di metadati https://example.com/federationmetadata/2007-06/federationmetadata.xml nel browser web con il dominio.
Se ti viene richiesto di scaricare il file federationmetadata.xml, significa che hai configurato tutto correttamente. Annota l'URL che hai utilizzato o scarica il file .xml. Devi utilizzare l'URL o il file per configurare SAML nella console Cognito.
Per ulteriori informazioni, consulta Configurazione del tuo gestore dell'identità digitale SAML di terze parti.
Configura AD FS come gestore dell'identità digitale SAML in Cognito
Per istruzioni sulla configurazione di AD FS come gestore dell'identità digitale SAML in Cognito, consulta Step 4: Complete the Amazon Cognito configuration (Passaggio 4: completamento della configurazione di Amazon Cognito) in Simplify web app authentication: A guide to AD FS federation with Amazon Cognito user pools (Semplificazione dell'autenticazione delle app web: guida alla federazione di AD FS con i pool di utenti Amazon Cognito).
Informazioni correlate
Accesso al pool di utenti con gestori dell'identità digitale di terze parti
Coppie di chiavi Amazon EC2 e istanze Amazon EC2
- Argomenti
- Security, Identity, & Compliance
- Lingua
- Italiano
