Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification unique (authentification fédérée SAML basée sur 2.0) dans le client VPN
AWS Client VPN prend en charge la fédération d'identité avec le langage Security Assertion Markup Language 2.0 (SAML2.0) pour les points de VPN terminaison clients. Vous pouvez utiliser des fournisseurs d'identité (IdPs) compatibles avec la SAML version 2.0 pour créer des identités utilisateur centralisées. Vous pouvez ensuite configurer un point de VPN terminaison client pour utiliser l'authentification fédérée SAML basée et l'associer à l'IdP. Les utilisateurs se connectent ensuite au point de VPN terminaison client à l'aide de leurs informations d'identification centralisées.
Rubriques
Flux de travail d'authentification
Le schéma suivant fournit une vue d'ensemble du flux de travail d'authentification pour un point de VPN terminaison client qui utilise l'authentification fédérée SAML basée sur l'authentification. Lorsque vous créez et configurez le point de VPN terminaison client, vous spécifiez le fournisseur IAM SAML d'identité.
L'utilisateur ouvre le client AWS fourni sur son appareil et établit une connexion avec le point de VPN terminaison du client.
-
Le point de VPN terminaison du client renvoie un IdP URL et une demande d'authentification au client, sur la base des informations fournies par le fournisseur IAM SAML d'identité.
-
Le client AWS fourni ouvre une nouvelle fenêtre de navigateur sur l'appareil de l'utilisateur. Le navigateur fait une demande au fournisseur d'identité et affiche une page de connexion.
-
L'utilisateur saisit ses informations d'identification sur la page de connexion, et l'IdP renvoie une SAML assertion signée au client.
-
Le client AWS fourni envoie l'SAMLassertion au point de VPN terminaison du client.
-
Le point de VPN terminaison du client valide l'assertion et autorise ou refuse l'accès à l'utilisateur.
Exigences et considérations relatives SAML à l'authentification fédérée basée
Les exigences et considérations relatives à l'authentification fédérée SAML basée sur la base sont les suivantes.
-
Pour les quotas et les règles de configuration des utilisateurs et des groupes dans un IdP SAML basé, consultez. Quotas d'utilisateurs et de groupes
-
L'SAMLassertion et SAML les documents doivent être signés.
-
AWS Client VPN ne prend en charge que les conditions « » NotBefore et NotOnOrAfter « » dans les SAML assertions. AudienceRestriction
-
La taille maximale prise en charge pour SAML les réponses est de 128 Ko.
-
AWS Client VPN ne fournit pas de demandes d'authentification signées.
-
SAMLla déconnexion unique n'est pas prise en charge. Les utilisateurs peuvent se déconnecter en se déconnectant du client AWS fourni, ou vous pouvez mettre fin aux connexions.
-
Un point de VPN terminaison client ne prend en charge qu'un seul IdP.
-
L'authentification multifactorielle (MFA) est prise en charge lorsqu'elle est activée dans votre IdP.
-
Les utilisateurs doivent utiliser le client AWS fourni pour se connecter au point de VPN terminaison du client. Ils doivent utiliser la version 1.2.0 ou une version ultérieure. Pour plus d'informations, voir Connect à l'aide du client AWS fourni.
-
Les navigateurs suivants sont pris en charge pour l'authentification IdP: Apple Safari, Google Chrome, Microsoft Edge et Mozilla Firefox.
-
Le client AWS fourni réserve le TCP port 35001 sur les appareils des utilisateurs pour la SAML réponse.
-
Si le document de métadonnées du fournisseur IAM SAML d'identité est mis à jour avec une information incorrecte ou malveillanteURL, cela peut entraîner des problèmes d'authentification pour les utilisateurs ou des attaques de phishing. Par conséquent, nous vous recommandons de l'utiliser AWS CloudTrail pour surveiller les mises à jour apportées au fournisseur IAM SAML d'identité. Pour plus d'informations, consultez la section Journalisation IAM et AWS STS appels avec AWS CloudTrail dans le Guide de IAM l'utilisateur.
-
AWS Client VPN envoie une requête AuthN à l'IdP via une liaison de redirection. HTTP Par conséquent, l'IdP doit prendre en charge la liaison par HTTP redirection et elle doit être présente dans le document de métadonnées de l'IdP.
-
Pour l'SAMLassertion, vous devez utiliser un format d'adresse e-mail pour l'
NameIDattribut.
SAMLressources de configuration basées sur l'IdP
Le tableau suivant répertorie les bases SAML avec IdPs lesquelles nous avons testé leur utilisation AWS Client VPN, ainsi que les ressources qui peuvent vous aider à configurer l'IdP.
| IdP | Ressource |
|---|---|
| Okta | Authentifiez les AWS Client VPN utilisateurs avec SAML |
| Microsoft Azure Active Directory (Azure AD) | Pour plus d'informations, consultez Tutoriel : intégration d'Azure Active Directory single sign-on (SSO) avec le AWS client VPN |
| JumpCloud | Authentification unique (SSO) avec AWS Client VPN |
| AWS IAM Identity Center | Utilisation IAM d'Identity Center AWS Client VPN pour l'authentification et l'autorisation |
Informations sur le fournisseur de services pour la création d'une application
Pour créer une application SAML basée à l'aide d'un IdP qui n'est pas répertorié dans le tableau précédent, utilisez les informations suivantes pour configurer les informations du fournisseur de AWS Client VPN services.
-
Service à la clientèle d'Assertion (ACS) URL :
http://127.0.0.1:35001 -
Public URI :
urn:amazon:webservices:clientvpn
Au moins un attribut doit être inclus dans la SAML réponse de l'IdP. Voici quelques exemples d'attributs.
| Attribut | Description |
|---|---|
FirstName |
Le prénom de l'utilisateur. |
LastName |
Le nom de famille de l'utilisateur. |
memberOf |
Le ou les groupes dont fait partie l'utilisateur. |
Note
L'memberOfattribut est obligatoire pour utiliser les règles d'autorisation basées sur Active Directory ou les groupes SAML IdP. Il est également sensible à la casse et doit être configuré exactement comme spécifié. Pour plus d'informations, consultez Autorisation basée sur le réseau et AWS Client VPN règles d'autorisation.
Prise en charge du portail en libre-service
Si vous activez le portail en libre-service pour votre point de VPN terminaison client, les utilisateurs se connectent au portail à l'aide de leurs informations d'identification IdP SAML basées sur leur identifiant.
Si votre IdP prend en charge plusieurs Assertions Consumer Service (ACS)URLs, ajoutez ce qui suit ACS URL à votre application.
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
Si vous utilisez le point de VPN terminaison client dans une GovCloud région, utilisez ACS URL plutôt ce qui suit. Si vous utilisez la même IDP application pour vous authentifier à la fois pour la norme et pour GovCloud les régions, vous pouvez ajouter les deuxURLs.
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
Si votre IdP ne prend pas en charge le multiple ACSURLs, procédez comme suit :
-
Créez une application SAML basée supplémentaire dans votre IdP et spécifiez les éléments suivants. ACS URL
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml -
Générez et téléchargez un document de métadonnées de fédération.
-
Créez un fournisseur IAM SAML d'identité dans le même AWS compte que le point de VPN terminaison du client. Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de IAM l'utilisateur.
Note
Vous créez ce fournisseur IAM SAML d'identité en plus de celui que vous créez pour l'application principale.
-
Créez le point de VPN terminaison client et spécifiez les deux fournisseurs IAM SAML d'identité que vous avez créés.
