Single Sign-on, autenticazione federata basata su 2.0, in Client SAML VPN - AWS Client VPN
Flusso di lavoro di autenticazioneRequisiti e considerazioni per l'autenticazione federata basata SAMLSAMLrisorse di configurazione IdP basate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Single Sign-on, autenticazione federata basata su 2.0, in Client SAML VPN

AWS Client VPN supporta la federazione delle identità con Security Assertion Markup Language 2.0 (SAML2.0) per gli endpoint Client. VPN È possibile utilizzare provider di identità (IdPs) che supportano la SAML versione 2.0 per creare identità utente centralizzate. È quindi possibile configurare un VPN endpoint Client per utilizzare l'autenticazione federata SAML basata e associarlo all'IdP. Gli utenti si connettono quindi all'VPNendpoint Client utilizzando le proprie credenziali centralizzate.

Argomenti

Flusso di lavoro di autenticazione

Il diagramma seguente fornisce una panoramica del flusso di lavoro di autenticazione per un VPN endpoint Client che utilizza l'autenticazione federata basata. SAML Quando si crea e si configura l'VPNendpoint Client, si specifica il provider di identità. IAM SAML

Flusso di lavoro di autenticazione

  1. L'utente apre il client AWS fornito sul proprio dispositivo e avvia una connessione all'endpoint ClientVPN.

  2. L'VPNendpoint Client invia un URL IdP e una richiesta di autenticazione al client, in base alle informazioni fornite IAM SAML nel provider di identità.

  3. Il client AWS fornito apre una nuova finestra del browser sul dispositivo dell'utente. Il browser effettua una richiesta al provider di identità e visualizza una pagina di accesso.

  4. L'utente inserisce le proprie credenziali nella pagina di accesso e l'IdP invia un'asserzione SAML firmata al client.

  5. Il client AWS fornito invia l'SAMLasserzione all'endpoint Client. VPN

  6. L'VPNendpoint Client convalida l'asserzione e consente o nega l'accesso all'utente.

Requisiti e considerazioni per l'autenticazione federata basata SAML

Di seguito sono riportati i requisiti e le considerazioni per l'autenticazione federata SAML basata.

  • Per le quote e le regole per la configurazione di utenti e gruppi in un SAML IdP basato, vedere. Quote di utenti e gruppi

  • La SAML dichiarazione e i SAML documenti devono essere firmati.

  • AWS Client VPN supporta solo le condizioni AudienceRestriction "" e "NotBefore e NotOnOrAfter" nelle SAML asserzioni.

  • La dimensione massima supportata per SAML le risposte è 128 KB.

  • AWS Client VPN non fornisce richieste di autenticazione firmate.

  • SAMLil logout singolo non è supportato. Gli utenti possono disconnettersi disconnettendosi dal client AWS fornito oppure è possibile interrompere le connessioni.

  • Un VPN endpoint Client supporta un solo IdP.

  • L'autenticazione a più fattori (MFA) è supportata quando è abilitata nel tuo IdP.

  • Gli utenti devono utilizzare il client AWS fornito per connettersi all'endpoint ClientVPN. È richiesta la versione 1.2.0 o successiva. Per ulteriori informazioni, consulta Connect using the AWS provided client.

  • Per l'autenticazione IdP sono supportati i seguenti browser: Apple Safari, Google Chrome, Microsoft Edge e Mozilla Firefox.

  • Il client AWS fornito riserva la TCP porta 35001 sui dispositivi degli utenti per la SAML risposta.

  • Se il documento di metadati del provider di IAM SAML identità viene aggiornato con un documento errato o dannosoURL, ciò può causare problemi di autenticazione per gli utenti o provocare attacchi di phishing. Pertanto, si consiglia di AWS CloudTrail utilizzarlo per monitorare gli aggiornamenti apportati al provider di IAM SAML identità. Per ulteriori informazioni, vedere Registrazione IAM e AWS STS chiamate con AWS CloudTrail nella Guida per l'IAMutente.

  • AWS Client VPN invia una richiesta AuthN all'IdP tramite un'associazione di reindirizzamento. HTTP Pertanto, l'IdP dovrebbe supportare l'associazione HTTP Redirect e dovrebbe essere presente nel documento di metadati dell'IdP.

  • Per l'SAMLasserzione, è necessario utilizzare un formato di indirizzo e-mail per l'attributo. NameID

SAMLrisorse di configurazione IdP basate

La tabella seguente elenca i SAML based con IdPs cui abbiamo testato l'uso e AWS Client VPN le risorse che possono aiutarti a configurare l'IdP.

IdP Risorsa
Okta Autentica gli utenti con AWS Client VPN SAML
Microsoft Azure Active Directory Per altre informazioni, vedi Tutorial: integrazione single sign-on (SSO) di Azure Active Directory con AWS Client VPN nel sito Web della documentazione Microsoft.
JumpCloud Single Sign-On () con SSO AWS Client VPN
AWS IAM Identity Center Utilizzo di IAM Identity Center con AWS Client VPN per l'autenticazione e l'autorizzazione

Informazioni sul fornitore di servizi per la creazione di un'app

Per creare un'app SAML basata su un IdP non elencato nella tabella precedente, utilizza le seguenti informazioni per configurare le informazioni sul fornitore di AWS Client VPN servizi.

  • Assertion Consumer Service (): ACS URL http://127.0.0.1:35001

  • PubblicoURI: urn:amazon:webservices:clientvpn

Almeno un attributo deve essere incluso nella SAML risposta dell'IdP. Di seguito vengono mostrati degli attributi di esempio.

Attributo Descrizione
FirstName Il nome dell'utente.
LastName Il cognome dell'utente.
memberOf Il gruppo o i gruppi a cui appartiene l'utente.
Nota

L'memberOfattributo è necessario per utilizzare le regole di autorizzazione basate su gruppi Active Directory o SAML IdP. Gli attributi fanno distinzione tra maiuscole e minuscole e devono essere configurati esattamente come specificato. Per ulteriori informazioni, consulta Autorizzazione di rete e AWS Client VPN regole di autorizzazione.

Supporto per il portale self-service

Se abiliti il portale self-service per il tuo VPN endpoint Client, gli utenti accedono al portale utilizzando le proprie credenziali SAML IdP basate.

Se il tuo IdP supporta più Assertion Consumer Service (ACS)URLs, aggiungi quanto segue ACS URL alla tua app.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Se utilizzi l'VPNendpoint Client in una GovCloud regione, utilizza invece quanto segue. ACS URL Se utilizzi la stessa IDP app per l'autenticazione sia per gli standard che per le GovCloud regioni, puoi aggiungerli entrambi. URLs

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Se il tuo IdP non supporta più di uno ACSURLs, procedi come segue:

  1. Crea un'app SAML basata aggiuntiva nel tuo IdP e specifica quanto segue. ACS URL

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. Genera e scarica un documento di metadati della federazione.

  3. Crea un provider di IAM SAML identità nello stesso AWS account dell'VPNendpoint Client. Per ulteriori informazioni, consulta Creazione di provider di IAM SAML identità nella Guida per l'IAMutente.

    Nota

    Questo provider di IAM SAML identità viene creato in aggiunta a quello creato per l'app principale.

  4. Crea l'VPNendpoint Client e specifica entrambi i provider di IAM SAML identità che hai creato.