Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como configuro o AD FS em uma instância de Windows do Amazon EC2 para trabalhar com federação para um grupo de usuários do Amazon Cognito?

10 minuto de leitura
0

Quero usar os Serviços de Federação do Active Directory (AD FS) como provedor de identidade (IdP) da Security Assertion Markup Language 2.0 (SAML 2.0) com um grupo de usuários do Amazon Cognito. Como configuro o AD FS em uma instância de Windows do Amazon Elastic Compute Cloud (Amazon EC2)?

Breve descrição

Use o Gerenciador de servidores para configurar um servidor AD FS e um controlador de domínio em uma instância de Windows do EC2.

Resolução

Antes de começar, consulte as instruções em Como configurar o AD FS como um provedor de identidades SAML com um grupo de usuários do Amazon Cognito? Você precisa de um grupo de usuários do Amazon Cognito com um cliente do aplicativo para concluir a configuração neste artigo.

Você também precisa de um nome de domínio de sua propriedade. Se você não possui um domínio, você pode registrar um novo domínio com o Amazon Route 53 ou outro serviço de Sistema de Nomes de Domínio (DNS).

Configure e inicie uma instância de Windows do EC2

  1. Abra o console do Amazon EC2.
  2. No painel do console, escolha Executar instância para iniciar o assistente de execução de instância.
  3. Na página Selecione uma imagem de máquina da Amazon (AMI), selecione uma AMI para Windows Server, como a AMI básica do Microsoft Windows Server 2016. Para obter mais informações, consulte Encontre uma AMI de Windows.
  4. Na página Configurar grupo de segurança, crie um grupo de segurança para a instância e adicione as seguintes regras ao grupo de segurança: Tipo: Fonte RDP: um endereço IP em notação CIDR (a.b.c.d/z), ou um bloco CIDR Observação: para o endereço IP ou bloco especificado em Fonte, é uma prática recomendada usar um conjunto de endereços IP permitidos conhecidos. **Tipo: ****HTTP Fonte: qualquer lugar
    Tipo: **HTTPS Fonte: qualquer lugar
    Para obter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Windows e Adicionar regras a um grupo de segurança.
  5. Na página Analisar execução da instância, selecione Executar.
  6. Na caixa de diálogo Selecionar um par de chaves existente ou criar um novo par de chaves, siga as instruções para selecionar um par de chaves existente ou criar um novo par de chaves. Para obter mais informações, consulte Pares de chaves do Amazon EC2 e instâncias do Linux. Importante: salve o arquivo de chave privada .pem em seu par de chaves. Ele é usado para que você se conecte à sua instância de Windows do EC2.
  7. Escolha Executar instâncias.

Associe um endereço IP elástico à sua instância de Windows do EC2

  1. Se você ainda não tiver feito isso, aloque um endereço IP elástico para uma conta da AWS.
  2. Associe um endereço IP elástico a uma instância de Windows do EC2 para que você tenha um endereço IP público persistente para ele.

Crie um registro para seu domínio usando o endereço IP elástico

O domínio que você usa para os Serviços de Domínio do Active Directory (AD DS) deve ter um registro A (endereço IPv4) com um endereço IP elástico como valor. Crie esse registro para seu domínio usando o endereço IP elástico associado à sua instância de Windows do EC2.

Para obter mais informações, consulte Criar registros usando o console do Amazon Route 53.

Instale o AD DS, o servidor web (IIS) e o AD FS em sua instância de Windows do EC2

  1. Conecte-se à sua instância de Windows do EC2.
  2. No Windows, abra o Gerenciador de servidores e, em seguida, use o Assistente Adicionar perfis e recursos para instalar os seguintes perfis:
    Serviços de Domínio do Active Directory
    Serviços de Federação do Active Directory
    Servidor Web (IIS)

Para obter mais informações sobre como usar o assistente, consulte Instalar ou desinstalar perfis, serviços de perfil ou recursos no site da Microsoft.

Configure o AD DS em sua instância de Windows do EC2

  1. No Gerenciador de servidores, use o Assistente Configuração dos serviços de domínio do Active Directory para configurar o AD DS. Para obter mais informações, consulte Instalar o AD DS usando o Gerenciador de servidores no site da Microsoft. Siga as instruções em Para instalar o AD DS usando o Gerenciador de servidores, começando na etapa 9. Observação: no assistente, na página Configuração de implantação, insira o seu domínio (por exemplo, exemplo.com).
  2. Depois que a instalação da configuração for concluída, o Windows notificará você de que você está prestes a sair. Isso é esperado. Aguarde alguns minutos até que o servidor seja reiniciado e, em seguida, conecte-se novamente à sua instância de Windows do EC2.

Configure a vinculação de sites http no IIS

No Gerenciador de servidores, use o IIS para editar a vinculação de site http do seu site. Para obter mais informações, consulte Como adicionar informações de vinculação a um site no site da Microsoft.

Importante: ao editar a vinculação http no IIS, em Nome do host, insira o nome do seu domínio (por exemplo, exemplo.com). No entanto, não altere o endereço IP (todos não atribuídos) ou a Porta (80).

Configure sua instância de Windows do EC2 para permitir o download de arquivos

Para obter mais informações, consulte Como configurar uma instância de Windows do EC2 para permitir o download de arquivos usando o Internet Explorer?

Solicite um certificado digital para o seu domínio

Você precisa de um certificado de servidor SSL para vinculação HTTPS para seu site do IIS. Solicite um certificado de terceiros para seu domínio baixando e usando a ferramenta confiável de criação de certificados de terceiros de sua preferência.

Para obter mais informações, consulte Como escolher um certificado no site da Microsoft.

(Opcional) Configure a vinculação de sites HTTPS no IIS

Se a ferramenta de criação de certificados usada não adicionar a vinculação de sites https no IIS automaticamente, adicione você mesmo a vinculação de site, como fez anteriormente com http.

Para obter mais informações, consulte Criar uma vinculação SSL no site da Microsoft.

Configure o AD FS em sua instância de Windows do EC2

No Gerenciador de servidores, use o Assistente Configuração do servidor de federação AD FS para configurar a instância de Windows do EC2 como um servidor de federação. Para obter mais informações, consulte Controladores de domínio do Windows Server 2008 ou 2008 R2 no site da Microsoft.

Observação: na página Especificar conta de serviço do assistente, ao acessar a caixa de diálogo Selecionar usuário ou conta de serviço, selecione o usuário chamado Administrador e, em seguida, digite a senha que você usou para a Área de trabalho remota para se conectar à instância de Windows do EC2.

Crie um usuário no Active Directory

Use a ferramenta Usuários e computadores do Active Directory para criar um novo usuário no Active Directory. Adicione o novo usuário aos administradores do grupo.

Para obter mais informações, consulte Criar um usuário e adicioná-lo a um grupo no site da Microsoft.

Adicione um endereço de e-mail de seu usuário do Active Directory

  1. Depois de criar um novo usuário, na ferramenta Usuários e computadores do Active Directory, clique duas vezes em Usuários para abrir a lista de usuários.
  2. Na lista de usuários, encontre o usuário que você criou. Clique com o botão direito do mouse no usuário para abrir o menu de contexto e selecione Propriedades.
  3. Na janela Propriedades, para o nome do usuário, em E-mail, insira um endereço de e-mail válido para o usuário. Esse endereço de e-mail será incluído na asserção SAML posteriormente.

Para obter mais informações, consulte a página Propriedades gerais no site da Microsoft.

Adicione um objeto de confiança de terceiros confiáveis com reconhecimento de declarações no AD FS

Observação: para esta parte, você precisa de informações do seu grupo de usuários do Amazon Cognito no console do Amazon Cognito. Para obter mais informações, consulte Como adicionar provedores de identidade SAML a um grupo de usuários.

No Gerenciador de servidores, use o Assistente Adicionar de objeto de confiança de terceiros confiáveis para adicionar um objeto de confiança de terceiros confiáveis com reconhecimento de declarações.
Na página Configurar URL do assistente, selecione Ativar suporte para o protocolo SAML 2.0 webSSO. Em URL de serviço SAML 2.0 SSO de terceiros confiáveis, insira um URL do endpoint do consumidor de asserção, formatada da seguinte forma: https://prefixodoseudominio.auth.regiao.amazoncognito.com/saml2/idpresponse
Observação: substitua prefixodoseudomínio pelo prefixo de domínio do seu grupo de usuários do Amazon Cognito. Substitua região pela região da AWS do grupo de usuários (por exemplo, "us-east-1").

Na página Configurar identificadores do assistente, em Identificador de objeto de confiança de terceiros confiáveis, digite o seguinte URN: urn:amazon:cognito:sp:iddoseugrupodeusuarios
Observação: substitua idoseugrupodeusuarios pelo ID do grupo de usuários do Amazon Cognito (por exemplo, "us-east-1\ _G2ZXIEBAC").

Para obter mais informações, consulte Para criar um objeto de confiança de terceiros confiáveis com reconhecimento de declarações manualmente no site da Microsoft.

Edite a política de emissão de declarações do seu aplicativo no AD FS

Adicione uma regra à relação de confiança criada para enviar atributos LDAP como declarações. Use o Assistente de Adição de objeto de confiança de terceiros confiáveis para adicionar a regra. Na página Configurar regra, faça o seguinte:

  • Em Nome da regra de declaração, insira E-mail.
  • Em Armazenamento de atributos, selecione Active Directory.
  • Em Atributo LDAP, selecione Endereços de e-mail.
  • Em Tipo de solicitação de saída, selecioneEndereço de e-mail.

Para obter mais informações, consulte Para criar uma regra para enviar atributos LDAP como declarações de um objeto de terceiros confiáveis no Windows Server 2016 no site da Microsoft.

Observação: para que as declarações de ID de e-mail e ID de nome apareçam como endereço de e-mail do usuário na asserção SAML na resposta SAML, mapeie o endereço de e-mail de entrada do Active Directory para a declaração de ID de nome de saída. Se você usar essa abordagem, crie uma regra para enviar atributos LDAP como declarações. Para obter mais informações, consulte Para criar uma regra para enviar atributos LDAP como declarações para o Windows Server 2012 R2 no site da Microsoft.

Teste o URL de metadados do IdP SAML para seu servidor

Insira esse URL do endpoint do documento de metadados em seu navegador depois de substituir exemplo.com pelo seu domínio:

**https://exemplo.com/federationmetadata/2007-06/federationmetadata.xml **

Se você for solicitado a baixar o arquivo federationmetadata.xml, tudo estará configurado corretamente. Anote o URL que você usou aqui ou baixe o arquivo.xml. Você precisa do URL ou do arquivo para configurar o SAML no console do Amazon Cognito. Para obter mais informações, consulte Como integrar provedores de identidade SAML de terceiros com grupos de usuários do Amazon Cognito.

Configure o AD FS como IdP SAML no Amazon Cognito

Depois de concluir todas as etapas deste artigo, continue a configuração no console do Amazon Cognito. Para obter mais informações, consulte Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

Informações relacionadas

Como adicionar acesso a grupo de usuários por meio de terceiros

Tutorial: comece a usar instâncias de Windows do Amazon EC2

Tópicos
Segurança, identidade e conformidade
Tags
Amazon Cognito
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 3 anos

Conteúdo relevante