Come faccio a configurare AD FS in un'istanza Amazon EC2 per Windows per federare un pool di utenti Amazon Cognito?

9 minuti di lettura
0

Desidero utilizzare Active Directory Federation Services (AD FS) come provider di identità (IdP) Security Assertion Markup Language 2.0 (SAML 2.0) con un pool di utenti Amazon Cognito. Come posso configurare AD FS in un'istanza Windows di Amazon Elastic Compute Cloud (Amazon EC2)?

Breve descrizione

Usa Server Manager per configurare un server AD FS e un controller di dominio in un'istanza EC2 per Windows.

Risoluzione

Prima di iniziare, consulta le istruzioni in Come faccio a configurare AD FS come provider di identità SAML con un pool di utenti Amazon Cognito? Per completare la configurazione descritta in questo articolo, è necessario un pool di utenti Amazon Cognito con un client di app.

Inoltre, devi avere la proprietà di un nome di dominio. Se non possiedi un dominio, puoi registrare un nuovo dominio con Amazon Route 53 o un altro servizio DNS (Domain Name System).

Configurazione e avvio di un'istanza EC2 per Windows

  1. Apri la console Amazon EC2.
  2. Dalla dashboard della console, scegli Avvia istanza per avviare la procedura guidata di avvio dell’istanza.
  3. Nella pagina Scegli un'Amazon Machine Image (AMI), scegli un'AMI per Windows Server, ad esempio l'AMI di base di Microsoft Windows Server 2016. Per ulteriori informazioni, consulta Trovare una AMI Windows.
  4. Nella pagina Configura gruppo di sicurezza, crea un gruppo di sicurezza per l’istanza, quindi aggiungi le seguenti regole al gruppo di sicurezza: Tipo: RDP Origine: un indirizzo IP in notazione CIDR (a.b.c.d/z) o un blocco CIDR Nota: per l'indirizzo IP o il blocco specificato in Origine, è consigliabile utilizzare un set di indirizzi IP consentiti noti. Tipo: HTTP Origine: Ovunque
    Tipo: HTTPS
    Origine: Ovunque
    Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per istanze Windows e Aggiunta di regole a un gruppo di sicurezza.
  5. Nella pagina Rivedi l’avvio dell’istanza, scegli Lancio.
  6. Nella finestra di dialogo Seleziona una coppia di chiavi esistente o crea una nuova copia di chiavi, segui le istruzioni per scegliere una coppia di chiavi esistente o crearne una nuova. Per ulteriori informazioni, consulta Coppie di chiavi Amazon EC2 e istanze Linux. Importante: salva il file.pem della chiave privata della tua coppia di chiavi. Dovrai utilizzarlo per connetterti alla tua istanza EC2 per Windows.
  7. Scegli Avvia le istanze.

Associazione di un indirizzo IP elastico all’istanza EC2 per Windows

  1. Se non l'hai già fatto, assegna un indirizzo IP elastico all’account AWS.
  2. Associa il tuo indirizzo IP elastico all’istanza EC2 per Windows in modo da avere un indirizzo IP pubblico persistente.

Creazione di un record del dominio tramite l’indirizzo IP elastico

Il dominio utilizzato per Active Directory Domain Services (AD DS) deve avere un record A (indirizzo IPv4) con un indirizzo IP elastico come valore. Crea questo record per il dominio utilizzando l'indirizzo IP elastico associato all’istanza EC2 per Windows.

Per ulteriori informazioni, consulta Creating records by using the Amazon Route 53 console.

Installazione di AD DS, server Web (IIS) e AD FS nell’istanza EC2 per Windows

  1. Connettiti all’istanza EC2 per Windows.
  2. In Windows, apri Server Manager, quindi utilizza Aggiunta guidata ruoli e funzionalità per installare i seguenti ruoli:
    Servizi di dominio Active Directory
    Servizi federati Active Directory
    Server Web (IIS)

Per ulteriori informazioni sull'utilizzo dell’aggiunta guidata, consulta Installazione di Servizi di dominio Active Directory con Server Manager nel sito Web Microsoft.

Configurazione di AD DS nell’istanza EC2 per Windowscl

  1. In Server Manager, utilizza Configurazione guidata Servizi di dominio Active Directory per configurare AD DS. Per ulteriori informazioni, consulta Installazione di Servizi di dominio Active Directory con Server Manager nel sito Web di Microsoft. Segui le istruzioni riportate in Per installare Servizi di dominio Active Directory tramite Server Manager, a partire dal passaggio 9. Nota: nella pagina Configurazione distribuzione della procedura guidata, inserisci il tuo dominio (ad esempio, example.com).
  2. Al termine dell'installazione della configurazione, Windows avvisa che sta per disconnetterti. È una procedura prevista. Attendi qualche minuto il riavvio del server, quindi connettiti nuovamente all'istanza EC2 per Windows.

Configurazione dell'associazione http del sito in IIS

In Server Manager, utilizza IIS per modificare l'associazione http del sito Web. Per ulteriori informazioni, consulta Come aggiungere informazioni di associazione a un sito nel sito Web Microsoft.

Importante: quando modifichi l'associazione http in IIS, inserisci in Nome host il tuo nome di dominio (ad esempio, example.com). Tuttavia, non modificare l'indirizzo IP (All Unassigned) o la porta (80).

Configurazione dell’istanza EC2 per Windows per consentire il download di file

Per ulteriori informazioni, consulta How do I configure an EC2 Windows instance to allow file downloads using Internet Explorer?

Richiesta di un certificato digitale per il dominio

È necessario un certificato server SSL per l'associazione HTTPS del sito Web IIS. È possibile richiedere un certificato di terze parti per il dominio scaricando e utilizzando uno strumento per la creazione di certificati di terze parti attendibili di tua scelta.

Per ulteriori informazioni, consulta Scelta di un certificato nel sito Web Microsoft.

(Facoltativo) Configurazione dell'associazione HTTPS del sito in IIS

Se lo strumento per la creazione di certificati che hai utilizzato non aggiunge automaticamente l'associazione https del sito in IIS, aggiungi personalmente l'associazione, come in precedenza per http.

Per ulteriori informazioni, consulta Creare un'associazione SSL nel sito Web Microsoft.

Configurazione di AD FS nell’istanza EC2 per Windows

In Server Manager, utilizza la Configurazione guidata del server federativo AD FS per configurare l'istanza EC2 per Windows come server federativo. Per ulteriori informazioni, consulta Server Windows 2008 o controller di dominio R2 2008 nel sito Web di Microsoft.

Nota: nella pagina Specifica account di servizio della procedura guidata, quando si apre la finestra di dialogo Seleziona account utente o di servizio, seleziona l'utente denominato Amministratore, quindi inserisci la password del Desktop remoto per connetterti all'istanza EC2 per Windows.

Creazione di un utente in Active Directory

Utilizza lo strumento Utenti e computer di Active Directory per creare un nuovo utente in Active Directory. Aggiungi il nuovo utente al gruppo Amministratori.

Per ulteriori informazioni, consulta Creare un utente e aggiungerlo a un gruppo nel sito Web Microsoft.

Aggiunta di un indirizzo e-mail per l'utente di Active Directory

  1. Una volta creato un nuovo utente, nello strumento Utenti e computer di Active Directory fai doppio clic su Utenti per visualizzare l'elenco degli utenti.
  2. Nell'elenco degli utenti, trova l'utente che hai creato. Fai clic con il pulsante destro del mouse sull'utente per aprire il menu di scelta rapida, quindi scegli Proprietà.
  3. Nella finestra Proprietà, in E-mail, inserisci un indirizzo e-mail valido per l'utente. Questo indirizzo e-mail verrà incluso nell'asserzione SAML in un secondo momento.

Per ulteriori informazioni, consulta la pagina delle proprietà generali nel sito Web di Microsoft.

Aggiunta di attendibilità alla relying party con riconoscimento di attestazioni in AD FS

Nota: per questa parte, sono necessarie le informazioni del pool di utenti Amazon Cognito nella console Amazon Cognito. Per ulteriori informazioni, consulta Aggiunta di provider di identità SAML a un bacino d'utenza.

In Server Manager, utilizza l’aggiunga guidata di attendibilità alla relying party per aggiungere attendibilità alla relying party con riconoscimento delle attestazioni.
Nella pagina Configura URL della procedura guidata, seleziona Abilita supporto per il protocollo WebSSO SAML 2.0. Come URL del servizio SSO SAML 2.0 della relying party, inserisci l'URL dell'endpoint consumer di asserzione, formattato come segue: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse
Nota: sostituisci yourDomainPrefix con il prefisso di dominio del pool di utenti Amazon Cognito. Sostituisci region con la Regione AWS del pool di utenti (ad esempio, “us-east-1”).

Nella pagina Configura identificatori della procedura guidata, in Identificatori di attendibilità della relying party inserisci questo URN: urn:amazon:cognito:sp:yourUserPoolID
Nota: sostituisci yourUserPoolID con l'ID del pool di utenti Amazon Cognito (ad esempio, “us-east-1_g2zxiEbac”).

Per ulteriori informazioni, consulta Creazione di attendibilità della relying party manualmente nel sito Web di Microsoft.

Modifica della politica di emissione di attestazioni dell’applicazione in AD FS

Aggiungi una regola all’attendibilità che hai creato per inviare attributi LDAP come attestazioni. Usa l'aggiunta guidata di attendibilità alla relying party per aggiungere la regola. Nella pagina Configura regola, procedi come segue:

  • In Nome regola attestazione, inserisci Email.
  • In Archivio attributi, scegli Active Directory.
  • In Attributo LDAP, scegli Indirizzi e-mail.
  • Per Tipo di attestazione in uscita, scegli Indirizzo e-mail.

Per ulteriori informazioni, consulta Creazione di una regola per inviare attributi LDAP come attestazioni per Windows Server 2016, sul sito Web di Microsoft.

Nota: per fare in modo che le attestazioni Email ID e Name ID vengano visualizzate come indirizzo e-mail dell'utente nell'asserzione SAML della risposta SAML, associa l'indirizzo e-mail in entrata di Active Directory all’attestazione Name ID in uscita. Se utilizzi questo approccio, crea una regola per inviare gli attributi LDAP come attestazioni. Per ulteriori informazioni, consulta Creazione di una regola per inviare attributi LDAP come attestazioni per 2012 R2 nel sito Web Microsoft.

Test dell'URL dei metadati del provider di identità SAML del server

Inserisci l'URL dell'endpoint del documento di metadati nel browser Web dopo avere sostituito example.com con il tuo dominio:

https://example.com/federationmetadata/2007-06/federationmetadata.xml

Se viene richiesto di scaricare il file federationmetadata.xml, significa che la configurazione è corretta. Annota l'URL che hai usato qui o scarica il file.xml. L'URL o il file sono necessari per configurare SAML nella console Amazon Cognito. Per ulteriori informazioni, consulta Integrazione di provider di identità SAML di terze parti con bacini d'utenza di Amazon Cognito.

Configurazione di AD FS come provider di identità SAML in Amazon Cognito

Dopo avere completato tutti i passaggi di questo articolo, continua la configurazione nella console Amazon Cognito. Per ulteriori informazioni, consulta Come faccio a configurare AD FS come provider di identità SAML con un pool di utenti Amazon Cognito?


Informazioni correlate

Aggiunta di un accesso al bacino d'utenza tramite terze parti

Tutorial: nozioni di base sulle istanze Amazon EC2 Windows

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa