AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Como configuro o AD FS em uma instância de Windows do EC2 para trabalhar com federação para um grupo de usuários do Cognito?

9 minuto de leitura

Quero usar os Serviços de Federação do Active Directory (AD FS) como um provedor de identidades (IdP) da Security Assertion Markup Language 2.0 (SAML 2.0) com um grupo de usuários do Amazon Cognito. Quero configurar o AD FS em uma instância de Windows do Amazon Elastic Compute Cloud (Amazon EC2).

Resolução

Use o Gerenciador de servidores para configurar um servidor AD FS e um controlador de domínio em uma instância de Windows do EC2. Para concluir a configuração, você deve ter um grupo de usuários do Cognito com um cliente de aplicação e um nome de domínio da sua propriedade. Se você não possui um domínio, é possível registrar um novo domínio com o Amazon Route 53 ou outro serviço de DNS.

Para obter mais informações, consulte Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?

Configurar e executar uma instância do Windows

Conclua as seguintes etapas:

Abra o console do EC2.
Escolha Executar instância.
Na página Selecione uma imagem de máquina da Amazon (AMI), selecione uma AMI para Windows Server, como a AMI básica do Microsoft Windows Server 2025.
Selecione o tipo de instância.
Em Pares de chaves, selecione um par de chaves já criado na lista suspensa ou crie um novo.
Importante: salve o arquivo de chave privada .pem do seu par de chaves para conectar-se à sua instância do Windows.
No painel de navegação, escolha Criar grupo de segurança e selecione Permitir tráfego do RDP.
Observação: para restringir o acesso do Remote Desktop Protocol (RDP) à sua instância somente a endereços IP específicos, altere o endereço IP de origem de Anywhere para My IP ou Custom.
Escolha Iniciar.

Associar um endereço IP elástico à instância do Windows

Aloque um endereço IP elástico à sua conta da AWS.Em seguida, associe seu endereço IP elástico à sua instância do Windows.

Usar o endereço IP elástico para criar um registro do domínio

Seu domínio dos Serviços de Domínio do Active Directory (AD DS) deve ter um registro A de endereço IPv4 com um endereço IP elástico como valor. Para criar o registro, use o endereço IP elástico associado à sua instância do Windows.

Instalar AD DS, IIS e AD FS na instância do Windows

Use seu cliente de RDP para se conectar à sua instância do Windows.

Abra o Gerenciador de servidores no Windows e, em seguida, use o Assistente Adicionar perfis e recursos para instalar os seguintes perfis:

Serviços de Domínio do Active Directory
Serviços de Federação do Active Directory
Internet Information Services (IIS)

Para mais informações, consulte Install or uninstall roles, role services, or features (Instalar ou desinstalar perfis, serviços de perfis e recursos) no site da Microsoft.

Configurar o AD DS em sua instância do Windows

Para configurar o AD DS, use o Assistente Configuração dos Serviços de domínio do Active Directory no Gerenciador de servidores. Na página Configuração de implantação, insira o seu domínio, por exemplo, exemplo.com. Depois que a instalação da configuração for concluída, o Windows notificará que você está prestes a sair. Quando o servidor for reiniciado, use seu cliente de RDP para se conectar à sua instância do Windows.

Para mais informações, consulte Instalar os Serviços de Domínio de Active Directory no site da Microsoft.

Configurar a vinculação de site HTTP em IIS

No Gerenciador de servidores, use o IIS para editar a vinculação de site HTTP do seu site. Para mais informações, consulte Como adicionar informações de vinculação a um site no site da Microsoft.

Importante: ao editar a vinculação HTTP no IIS, insira seu nome de domínio em nome do host, por exemplo, exemplo.com. Não altere o endereço IP (todos não atribuídos) ou a porta (80).

Configurar a instância do Windows para permitir o download de arquivos

Consulte Como configurar uma instância Windows do EC2 para permitir o download de arquivos usando o Internet Explorer?

Solicite um certificado digital para o seu domínio

É necessário um certificado de servidor SSL/TLS para vinculação de HTTPS. Para solicitar um certificado de terceiros para seu domínio, use uma ferramenta confiável de criação de certificados de terceiros.

Para mais informações, consulte Como escolher um certificado no site da Microsoft.

(Opcional) Configure a vinculação de site HTTPS no IIS

Se a ferramenta de criação de certificados que você usa não adicionar automaticamente a vinculação de site HTTPs no IIS, adicione manualmente a vinculação de site.

Para mais informações, consulte Criar uma vinculação SSL no site da Microsoft.

Configurar o AD FS na instância do Windows

Para configurar a instância do Windows como um servidor de federação, use o Assistente Configuração do servidor de federação AD FS no Gerenciador de servidores.

Para mais informações, consulte Preparar e implementar Serviços de Federação do Active Directory (AD FS) - confiança de certificados no local no site da Microsoft.

Na página Especificar conta de serviço, em Selecionar usuário ou conta de serviço, escolha o usuário chamado Administrator. Em seguida, insira a senha que você usou para o RDP se conectar à instância do Windows.

Crie um usuário no Active Directory

Para criar um novo usuário no Active Directory, use a ferramenta Usuários e computadores do Active Directory. Adicione o novo usuário ao grupo Administradores.

Para mais informações, consulte Criar um usuário e adicioná-lo a um grupo no site da Microsoft.

Adicione um endereço de e-mail de seu usuário do Active Directory

Conclua as seguintes etapas:

Na ferramenta Usuários e computadores do Active Directory, abra (clique duas vezes) Usuários para visualizar a lista de usuários.
Na lista de usuários, encontre o usuário que você criou. Abra (clique com o botão direito do mouse) o usuário para exibir o menu de contexto e escolha Propriedades.
Na janela Propriedades, em nome de usuário, insira um endereço de e-mail válido para o usuário. O endereço de e-mail está incluído na asserção SAML.

Para mais informações, consulte a Página de propriedade geral no site da Microsoft.

Adicione um objeto de confiança de terceiros confiáveis com reconhecimento de declarações no AD FS

No Gerenciador de servidores, navegue até Ferramentas de gerenciamento do AD FS. Para adicionar um objeto de confiança de terceira parte confiável com reconhecimento de declarações, use o Assistente Adicionar objeto de confiança de terceira parte confiável.

Na página Configurar URL do assistente, selecione Ativar suporte para o protocolo SAML 2.0 WebSSO. Em URL de serviço SAML 2.0 SSO de terceira parte confiável, insira um URL do endpoint do consumidor de asserção, como https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse. Substitua yourDomainPrefix pelo prefixo de domínio do seu grupo de usuários do Cognito. Substitua Region pela região da AWS do grupo de usuários.

Na página Configurar identificadores do assistente, em Identificador de objeto de confiança de terceira parte confiável, insira o URN urn:amazon:cognito:sp:yourUserPoolID. Substitua yourUserPoolID pelo ID do grupo de usuários do Cognito.

Para mais informações, consulte Como usar provedores de identidade SAML com um grupo de usuários e Para criar um objeto de confiança de terceira parte confiável com reconhecimento de declarações manualmente no site da Microsoft.

Edite a política de emissão de declarações de sua aplicação no AD FS

Use o Assistente Adicionar objeto de confiança de terceira parte confiável para adicionar uma regra à relação de confiança para enviar atributos LDAP como declarações.

Na página Configurar regra, conclua as seguintes etapas:

Em Nome da regra de declaração, insira E-mail.
Em Armazenamento de atributos, selecione Active Directory.
Em Atributo LDAP, selecione Endereços de e-mail.
Em Tipo de declaração de saída, selecione Endereço de e-mail.

Para mais informações, consulte Para criar uma regra para enviar atributos LDAP como declarações de um objeto confiança de terceira parte confiável no Windows Server 2016 no site da Microsoft.

Observação: mapeie o endereço de e-mail de entrada do Active Directory para a declaração de ID de nome de saída. As declarações de ID de e-mail e ID de nome aparecem como o endereço de e-mail do usuário na declaração SAML na resposta SAML. Em seguida, crie uma regra para enviar atributos LDAP como declarações.

Para obter mais informações, consulte Para criar uma regra para enviar atributos LDAP como declarações para o Windows Server 2012 R2 no site da Microsoft.

Teste o URL de metadados do IdP SAML para seu servidor

Insira a URL do endpoint do documento de metadados https://example.com/federationmetadata/2007-06/federationmetadata.xml em seu navegador web com seu domínio.

Se receber solicitação para fazer o download do arquivo federationmetadata.xml, então você configurou tudo corretamente. Anote o URL que você usou ou faça o download do arquivo.xml. É preciso usar o URL ou do arquivo para configurar o SAML no console do Cognito.

Para mais informações, consulte Como configurar seu provedor de identidades SAML de terceiros.

Configurar o AD FS como IdP SAML no Cognito

Para obter instruções sobre como configurar o AD FS como IdP SAML no Cognito, consulte a Etapa 4: Concluir a configuração do Amazon Cognito em Simplify web app authentication: A guide to AD FS federation with Amazon Cognito user pools (Simplificar a autenticação de aplicativos web: um guia para a federação do AD FS com grupos de usuários do Amazon Cognito).

Informações relacionadas

Conceitos básicos do Amazon EC2

Pares de chaves do Amazon EC2 e instâncias do Amazon EC2

Grupos de segurança do Amazon EC2 para suas instâncias do EC2

Regras do grupo de segurança para diferentes casos de uso

Tópicos: Security, Identity, & Compliance
Tags: Amazon Cognito
Idioma: Português

AWS OFICIALAtualizada há 10 meses

Sem comentários

Conteúdo relevante

Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um ano
Mudança de Configurações no SQL Server do Software
Resposta aceita
Daniel Silva
feita há 5 meses
Stardew Valley Mobile Android - Problema de Sincronização de Dados com o Cognito e S3
tanabanaa
feita há 4 meses
FNAF 6 Mobile Game (Full Game Android) - Problema de latência ao acessar assets a partir de uma instância EC2
mariagone
feita há 4 meses
Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há 10 meses
Como configurar o AD FS como um provedor de identidade SAML com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há um ano
Como conceder acesso à API ou à AWS CLI para os usuários do Active Directory por meio do AD FS?
AWS OFICIALAtualizada há um ano
Como permitir que usuários de domínio tenham acesso ao RDP a uma instância do EC2 Windows usando a política de grupo no AWS Managed Microsoft AD ou Simple AD?
AWS OFICIALAtualizada há 2 anos
Como faço para configurar um provedor de identidade SAML terceirizado com um grupo de usuários do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 8 meses