Sistem masuk tunggal - otentikasi federasi SAML berbasis 2.0 - di Klien VPN - AWS Client VPN
Alur kerja autentikasiPersyaratan dan pertimbangan untuk otentikasi federasi SAML berbasisSAMLsumber daya konfigurasi iDP berbasis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sistem masuk tunggal - otentikasi federasi SAML berbasis 2.0 - di Klien VPN

AWS Client VPN mendukung federasi identitas dengan Security Assertion Markup Language 2.0 (SAML2.0) untuk titik akhir Klien. VPN Anda dapat menggunakan penyedia identitas (IdPs) yang mendukung SAML 2.0 untuk membuat identitas pengguna terpusat. Anda kemudian dapat mengonfigurasi VPN titik akhir Klien untuk menggunakan otentikasi federasi SAML berbasis, dan mengaitkannya dengan IDP. Pengguna kemudian terhubung ke VPN titik akhir Klien menggunakan kredensialnya yang terpusat.

Topik

Alur kerja autentikasi

Diagram berikut memberikan ikhtisar alur kerja otentikasi untuk VPN titik akhir Klien yang menggunakan otentikasi federasi SAML berbasis. Saat Anda membuat dan mengonfigurasi VPN titik akhir Klien, Anda menentukan penyedia IAM SAML identitas.

Alur kerja autentikasi

  1. Pengguna membuka klien yang AWS disediakan di perangkat mereka dan memulai koneksi ke titik VPN akhir Klien.

  2. VPNEndpoint Klien mengirimkan URL IDP dan permintaan otentikasi kembali ke klien, berdasarkan informasi yang diberikan dalam IAM SAML penyedia identitas.

  3. Klien yang AWS disediakan membuka jendela browser baru di perangkat pengguna. Peramban membuat permintaan ke IdP dan menampilkan halaman login.

  4. Pengguna memasukkan kredensialnya di halaman login, dan iDP mengirimkan SAML pernyataan yang ditandatangani kembali ke klien.

  5. Klien AWS yang disediakan mengirimkan SAML pernyataan ke titik akhir KlienVPN.

  6. VPNTitik akhir Klien memvalidasi pernyataan dan mengizinkan atau menolak akses ke pengguna.

Persyaratan dan pertimbangan untuk otentikasi federasi SAML berbasis

Berikut ini adalah persyaratan dan pertimbangan untuk otentikasi federasi SAML berbasis.

  • Untuk kuota dan aturan untuk mengonfigurasi pengguna dan grup dalam SAML iDP berbasis, lihat. Kuota pengguna dan grup

  • SAMLPernyataan dan SAML dokumen harus ditandatangani.

  • AWS Client VPN hanya mendukung kondisi AudienceRestriction "" dan NotOnOrAfter "NotBefore dan" dalam SAML pernyataan.

  • Ukuran maksimum yang didukung untuk SAML respons adalah 128 KB.

  • AWS Client VPN tidak menyediakan permintaan otentikasi yang ditandatangani.

  • SAMLlogout tunggal tidak didukung. Pengguna dapat keluar dengan memutuskan sambungan dari klien yang AWS disediakan, atau Anda dapat menghentikan koneksi.

  • VPNEndpoint Klien hanya mendukung satu IDP.

  • Autentikasi multi-faktor (MFA) didukung saat diaktifkan di IDP Anda.

  • Pengguna harus menggunakan klien yang AWS disediakan untuk terhubung ke VPN titik akhir Klien. Pengguna harus menggunakan versi 1.2.0 atau lebih baru. Untuk informasi selengkapnya, lihat Connect menggunakan klien AWS yang disediakan.

  • Peramban berikut didukung untuk autentikasi IdP: Apple Safari, Google Chrome, Microsoft Edge, dan Mozilla Firefox.

  • Klien AWS yang disediakan mencadangkan TCP port 35001 pada perangkat pengguna untuk respons. SAML

  • Jika dokumen metadata untuk penyedia IAM SAML identitas diperbarui dengan salah atau berbahayaURL, ini dapat menyebabkan masalah otentikasi bagi pengguna, atau mengakibatkan serangan phishing. Oleh karena itu, kami menyarankan Anda menggunakan AWS CloudTrail untuk memantau pembaruan yang dibuat untuk penyedia IAM SAML identitas. Untuk informasi selengkapnya, lihat Logging IAM dan AWS STS panggilan dengan AWS CloudTrail di Panduan IAM Pengguna.

  • AWS Client VPN mengirimkan permintaan AuthN ke IDP melalui pengikatan Pengalihan. HTTP Oleh karena itu, iDP harus mendukung pengikatan HTTP Pengalihan dan harus ada dalam dokumen metadata iDP.

  • Untuk SAML pernyataan, Anda harus menggunakan format alamat email untuk atribut. NameID

SAMLsumber daya konfigurasi iDP berbasis

Tabel berikut mencantumkan SAML berbasis IdPs yang telah kami uji untuk digunakan AWS Client VPN, dan sumber daya yang dapat membantu Anda mengonfigurasi IDP.

IdP Sumber Daya
Okta Otentikasi AWS Client VPN pengguna dengan SAML
Direktori Aktif Microsoft Azure Untuk informasi selengkapnya, lihat Tutorial: Integrasi sistem masuk tunggal (SSO) Azure Active Directory dengan AWS Klien di situs VPN web dokumentasi Microsoft.
JumpCloud Single Sign On (SSO) dengan AWS Client VPN
AWS IAM Identity Center Menggunakan Pusat IAM Identitas dengan AWS Client VPN otentikasi dan otorisasi

Informasi penyedia layanan untuk membuat aplikasi

Untuk membuat aplikasi SAML berbasis menggunakan iDP yang tidak tercantum dalam tabel sebelumnya, gunakan informasi berikut untuk mengonfigurasi informasi penyedia layanan. AWS Client VPN

  • Pernyataan Layanan Konsumen ()ACS: URL http://127.0.0.1:35001

  • PemirsaURI: urn:amazon:webservices:clientvpn

Setidaknya satu atribut harus disertakan dalam SAML respon dari IDP. Berikut ini adalah contoh atribut.

Atribut Deskripsi
FirstName Nama pertama pengguna.
LastName Nama terakhir pengguna.
memberOf Grup atau beberapa grup tempat pengguna berada.
catatan

memberOfAtribut diperlukan untuk menggunakan Active Directory atau aturan SAML otorisasi berbasis grup IDP. Ini juga peka huruf besar/kecil, dan harus dikonfigurasi persis seperti yang ditentukan. Lihat Otorisasi berbasis jaringan dan AWS Client VPN aturan otorisasi untuk informasi lebih lanjut.

Dukungan untuk portal layanan mandiri

Jika Anda mengaktifkan portal layanan mandiri untuk VPN titik akhir Klien Anda, pengguna masuk ke portal menggunakan kredensi SAML IDP berbasis mereka.

Jika IDP Anda mendukung beberapa Assertion Consumer Service (ACS)URLs, tambahkan berikut ACS URL ini ke aplikasi Anda.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Jika Anda menggunakan VPN titik akhir Klien di suatu GovCloud wilayah, gunakan yang berikut ini ACS URL sebagai gantinya. Jika Anda menggunakan IDP aplikasi yang sama untuk mengautentikasi standar dan GovCloud wilayah, Anda dapat menambahkan keduanyaURLs.

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Jika IDP Anda tidak mendukung beberapa ACSURLs, lakukan hal berikut:

  1. Buat aplikasi SAML berbasis tambahan di IDP Anda dan tentukan yang berikut ini. ACS URL

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. Buat dan unduh dokumen metadata federasi.

  3. Buat penyedia IAM SAML identitas di AWS akun yang sama dengan VPN titik akhir Klien. Untuk informasi selengkapnya, lihat Membuat Penyedia IAM SAML Identitas di Panduan IAM Pengguna.

    catatan

    Anda membuat penyedia IAM SAML identitas ini selain yang Anda buat untuk aplikasi utama.

  4. Buat VPN titik akhir Klien, dan tentukan kedua penyedia IAM SAML identitas yang Anda buat.