Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AD FS
Ce didacticiel explique comment utiliser AD FS en tant que fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift.
Étape 1 : configurer AD FS et votre AWS compte pour qu'ils se fassent mutuellement confiance
La procédure suivante décrit comment configurer une relation de confiance.
-
Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs AD FS puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l'identifiant de cluster. Pour de plus amples informations, veuillez consulter Création d'un cluster.
-
Configurez AD FS pour contrôler l'accès à Amazon Redshift sur la Console de gestion Microsoft :
-
Choisissez ADFS2.0, puis choisissez Add Relying Party Trust. Dans la page Assistant Ajout d'approbation de partie de confiance, choisissez Démarrer.
-
Sur la page Sélectionner une source de données, choisissez Importer des données sur la partie de confiance publiées en ligne ou sur un réseau local.
-
Pour l'adresse des métadonnées de la fédération (nom d'hôte ouURL), entrez
https://signin.aws.amazon.com/saml-metadata.xml
. Le XML fichier de métadonnées est un document de SAML métadonnées standard décrit AWS comme une partie utilisatrice. -
Dans la page Spécifier un nom d'affichage, entrez une valeur pour Nom d'affichage.
-
Sur la page Choisir des règles d'autorisation d'émission, choisissez une règle d'autorisation d'émission pour autoriser ou refuser à tous les utilisateurs l'accès à cette partie de confiance.
-
Dans la page Prêt à ajouter l'approbation, vérifiez vos paramètres.
-
Sur la page Terminer, choisissez Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l'Assistant se ferme.
-
Dans le menu contextuel (clic droit), choisissez Parties de confiance.
-
Pour votre partie de confiance, ouvrez le menu contextuel (clic droit) et choisissez Modifier les règles de réclamation. Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle.
-
Pour le modèle de règle de réclamation, choisissez Transformer une réclamation entrante, puis sur la NameId page Modifier la règle, procédez comme suit :
-
Dans Nom de la règle de réclamation, entrez NameId.
-
Pour Nom de la réclamation entrante, choisissez Nom du compte Windows.
-
Pour Nom de la réclamation sortante, choisissez ID nom.
-
Pour Format d'ID de nom sortant, choisissez Identifiant persistant.
-
Choisissez Transférer toutes les valeurs de réclamation.
-
-
Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Sur la page Sélectionner un modèle de règle, pour Modèle de règle de réclamation, choisissez Envoyer LDAP les attributs sous forme de revendications.
-
Sur la page Configurer une règle, exécutez les opérations suivantes :
-
Pour Claim rule name (Nom de la règle de revendication), saisissez RoleSessionName.
-
Pour Attribute store (Magasin d'attributs), choisissez Active Directory.
-
Dans LDAPAttribut, sélectionnez Adresses e-mail.
-
Pour Outgoing Claim Type (Type de demande sortante), sélectionnez https://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
-
Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Dans la page Sélectionner un modèle de règle, pour le Modèle de règle de réclamation, choisissez Envoyer des réclamations à l'aide d'une règle personnalisée.
-
Dans la page Modifier la règle — Obtenir les groupes AD pour le Nom de la règle de réclamation, entrez Obtenir les groupes AD.
-
Pour Règle personnalisée, entrez ce qui suit.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Dans la page Sélectionner un modèle de règle, pour le Modèle de règle de réclamation, choisissez Envoyer des réclamations à l'aide d'une règle personnalisée.
-
Dans la page Modifier une règle — Rôles pour Nom de la règle de réclamation, entrez Rôles.
-
Pour Règle personnalisée, entrez ce qui suit.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Notez ARNs le SAML fournisseur et le rôle à assumer. Dans cet exemple,
arn:aws:iam:123456789012:saml-provider/ADFS
il s'arn:aws:iam:123456789012:role/ADFS-
agit ARN du SAML fournisseur et ARN du rôle.
-
-
Assurez-vous que vous avez téléchargé le fichier
federationmetadata.xml
. Vérifiez que le contenu du document n'a pas de caractères non valides. Il s'agit du fichier de métadonnées que vous utilisez lors de la configuration de la relation d'approbation avec AWS. -
Créez un fournisseur IAM SAML d'identité sur la IAM console. Le document de métadonnées que vous fournissez est le XML fichier de métadonnées de fédération que vous avez enregistré lors de la configuration d'Azure Enterprise Application. Pour connaître les étapes détaillées, consultez la section Création et gestion d'un fournisseur IAM d'identité (console) dans le guide de IAM l'utilisateur.
-
Créez un IAM rôle pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, consultez la section Création d'un rôle pour SAML dans le guide de IAM l'utilisateur.
-
Créez une IAM politique que vous pouvez associer au IAM rôle que vous avez créé pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, reportez-vous à la section Création de IAM politiques (console) dans le guide de IAM l'utilisateur. Pour obtenir un exemple Azure AD, consultez Configuration de JDBC l'authentification ODBC unique.