Azure

So richten Sie Azure AD und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre Azure-AD-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter Erstellen eines Clusters.

2. Richten Sie ein Azure Active Directory, Gruppen und Benutzer ein, die AWS im Microsoft Azure-Portal verwendet werden.

3. Fügen Sie Amazon Redshift als Unternehmensanwendung im Microsoft Azure-Portal hinzu, um es für Single Sign-On an der AWS Konsole und die Verbundanmeldung bei Amazon Redshift zu verwenden. Wählen Sie Enterprise application (Unternehmensanwendung).

4. Wählen Sie +New Application (+Neue Anwendung). Die Seite „Add an application (Anwendung hinzufügen)“ wird angezeigt.

5. Suchen Sie im Suchfeld nach AWS.

6. Wählen Sie Amazon Web Services (AWS) und dann Add (Hinzufügen) aus. Dadurch wird die AWS -Anwendung erstellt.

7. Wählen Sie unter Manage (Verwalten) die Option Single Sign-onaus.

8. Wählen Sie SAML. Die Seite „Amazon Web Services (AWS) | SAML-based Sign-on“ wird angezeigt.

9. Wählen Sie Yes (Ja) um zur Seite „Setup Single-Sign-On with SAML (Single-Sign-On mit SAML einrichten)“ fortzufahren. Auf dieser Seite wird die Liste vorkonfigurierter Attribute angezeigt, die sich auf Single Sign-On beziehen.

10. Wählen Sie für Basic SAML Configuration (Grundlegende SAML-Konfiguration) das Bearbeitungssymbol und dann Save (Speichern).

11. Wenn Sie für mehrere Anwendungen konfigurieren, geben Sie einen ID-Wert ein. Geben Sie z. B. ei https://signin.aws.amazon.com/saml#2. Beachten Sie, dass ab der zweiten Anwendung dieses Format mit einem # -Zeichen verwendet werden muss, um einen eindeutigen SPN-Wert anzugeben.

12. Wählen Sie im Abschnitt User Attributes and Claims (Benutzerattribute und Anträge) das Bearbeitungssymbol aus.

    Standardmäßig sind der Unique User Identifier (UID), die Rolle und die Ansprüche vorkonfiguriert RoleSessionName. SessionDuration

13. Wählen Sie + Add new claim (+ Neuen Antrag hinzufügen), um einen Antrag für Datenbankbenutzer hinzuzufügen.

    Geben Sie unter Name DbUser ein.

    Geben Sie für Namespace https://redshift.amazon.com/SAML/Attributes ein.

    Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

    Wählen Sie für Source attribute (Quellattribut) user.userprincipalname aus. Wählen Sie dann Save (Speichern) aus.

14. Wählen Sie + Neuen Anspruch hinzufügen, um einen Anspruch hinzuzufügen. AutoCreate

    Geben Sie unter Name AutoCreate ein.

    Geben Sie für Namespace https://redshift.amazon.com/SAML/Attributes ein.

    Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

    Wählen Sie für Source attribute (Quellattribut) „true“. Wählen Sie dann Save (Speichern) aus.

    Hier ist 123456789012 Ihr AWS -Konto, AzureSSO ist eine von Ihnen erstellte IAM-Rolle und AzureADProvider ist der IAM-Anbieter.

    Name des Antrags	Wert
    Eindeutige Benutzer-ID (Namens-ID)	user.userprincipalname
    https://aws.amazon.com/SAML/Attributes/SessionDuration	„900“
    https://aws.amazon.com/SAML/Attributes/Role	arn:aws:iam: :role/, arn:aws:iam: :saml-provider/ 123456789012 AzureSSO 123456789012 AzureADProvider
    https://aws.amazon.com/SAML/Attributes/RoleSessionName	user.userprincipalname
    https://redshift.amazon.com/SAML/Attributes/AutoCreate	„true“
    https://redshift.amazon.com/SAML/Attributes/DbGroups	user.assignedroles
    https://redshift.amazon.com/SAML/Attributes/DbUser	user.userprincipalname

15. Fügen Sie unter App Registration (App-Registrierung) > your-application-name > Authentication (Authentifizierung) die Option Mobile And Desktop Application (Mobile und Desktop-Anwendung) hinzu. Geben Sie die URL als „http://localhost/redshift/“ an.

16. Wählen Sie im Abschnitt SAML Signing Certificate (SAML-Signaturzertifikat) die Option Download (Herunterladen) aus, um die XML-Datei für die Verbundmetadaten herunterzuladen und zu speichern, die beim Erstellen eines IAM-SAML-Identitätsanbieters verwendet werden soll. Diese Datei wird verwendet, um die Single-Sign-On-Verbundidentität zu erstellen.

17. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten der Azure Enterprise-Anwendung gespeichert haben. Ausführliche Schritte finden Sie unter Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole) im IAM-Benutzerhandbuch.

18. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter Erstellen einer Rolle für SAML im IAM-Benutzerhandbuch.

19. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.

    Ändern Sie die folgende Richtlinie (im JSON-Format) für Ihre Umgebung:

    • Ersetzen Sie die AWS Region Ihres Clusters durch. us-west-1

    • Ersetzen Sie Ihr AWS Konto durch123456789012.

    • Ersetzen Sie cluster-identifier durch Ihre Cluster-ID (oder * für alle Cluster).

    • Ersetzen Sie Ihre Datenbank (oder * alle Datenbanken) durch dev.

    • Ersetzen Sie den eindeutigen Bezeichner Ihrer IAM-Rolle durch AROAJ2UCCR6DPCEXAMPLE.

    • Geben Sie anstelle von Ihre Mandanten- oder Unternehmens-E-Mail-Domäne ein example.com.

    • Geben Sie anstelle von die Datenbankgruppe ein, der Sie den Benutzer zuweisen möchten my_dbgroup.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "redshift:GetClusterCredentials",
                "Resource": [
                    "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
                    "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
                    "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
                ],
                "Condition": {
                    "StringEquals": {
                        "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": "redshift:CreateClusterUser",
                "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
            },
            {
                "Effect": "Allow",
                "Action": "redshift:JoinGroup",
                "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "redshift:DescribeClusters",
                    "iam:ListRoles"
                ],
                "Resource": "*"
            }
        ]
    }

    Diese Richtlinie gewährt Berechtigungen wie folgt:

    • Der erste Abschnitt erteilt der API-Operation GetClusterCredentials die Berechtigung, temporäre Anmeldeinformationen für den angegebenen Cluster abzurufen. In diesem Beispiel ist die Ressource cluster-identifier mit Datenbank dev im Konto 123456789012 und in AWS -Region us-west-1. Die Klausel ${redshift:DbUser} ermöglicht es nur Benutzern, die dem in Azure AD angegebenen DbUser-Wert entsprechen, eine Verbindung herzustellen.

    • Die Bedingungsklausel erzwingt, dass nur bestimmte Benutzer temporäre Anmeldeinformationen erhalten. Dies sind Benutzer unter der Rolle, die durch die eindeutige ID der Rolle AROAJ2UCCR6DPCEXAMPLE im IAM-Konto angegeben wird, das durch eine E-Mail-Adresse in der E-Mail-Domäne Ihres Unternehmens identifiziert wird. Weitere Informationen zu Unique IDs finden Sie unter Unique IDs im IAM-Benutzerhandbuch.

      Ihr Setup mit Ihrem IdP (in diesem Fall Azure AD) bestimmt, wie die Bedingungsklausel geschrieben wird. Wenn die E-Mail Ihres Mitarbeiters johndoe@example.com lautet, stellen Sie ${redshift:DbUser} zuerst auf das Superfeld ein, das dem Benutzernamen johndoe des Mitarbeiters entspricht. Stellen Sie dann das AWS -SAML-Feld RoleSessionName auf das Superfeld ein, das mit der Mitarbeiter-E-Mail-Adresse johndoe@example.com übereinstimmt, damit diese Bedingung funktioniert. Berücksichtigen Sie bei diesem Ansatz Folgendes:

      • Wenn Sie ${redshift:DbUser} als E-Mail des Mitarbeiters festlegen, entfernen Sie das @example.com im JSON-Beispiel,um dem RoleSessionName zu entsprechen.

      • Wenn Sie die RoleSessionId auf nur den Benutzernamen des Mitarbeiters eingestellt haben, entfernen Sie die @example.com im Beispiel, um dem RoleSessionName zu entsprechen.

      • Im JSON-Beispiel sind ${redshift:DbUser} und RoleSessionName beide auf die E-Mail des Mitarbeiters festgelegt. In diesem JSON-Beispiel wird der Amazon-Redshift-Datenbankbenutzername mit @example.com verwendet, um den Benutzer für den Zugriff auf den Cluster anzumelden.

    • Der zweite Abschnitt erteilt die Berechtigung zum Erstellen eines dbuser-Namens im angegebenen Cluster. In diesem Beispiel beschränkt JSON die Erstellung auf ${redshift:DbUser}.

    • Der dritte Abschnitt erteilt die Berechtigung zur Angabe, welcher dbgroup ein Benutzer beitreten kann. In diesem JSON-Beispiel kann ein Benutzer der Gruppe my_dbgroup im angegebenen Cluster beitreten.

    • Der vierte Abschnitt berechtigt Aktionen, die der Benutzer für alle Ressourcen ausführen kann. In diesem JSON-Beispiel können Benutzer anrufen, redshift:DescribeClusters um Clusterinformationen wie den Cluster-Endpunkt, die AWS Region und den Port abzurufen. Auch ermöglicht es Benutzern, iam:ListRoles aufzurufen, um zu überprüfen, welche Rollen ein Benutzer übernehmen kann.