AD FS
Este tutorial mostra como usar o AD FS como provedor de identidades (IdP) para acessar clusters do Amazon Redshift.
Etapa 1: configurar o AD FS e sua conta da AWS para que confiem um no outro
O procedimento a seguir descreve como configurar uma relação de confiança.
-
Crie ou use um cluster existente do Amazon Redshift para os usuários do AD FS se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.
-
Configure o AD FS para controlar o acesso do Amazon Redshift no console de gerenciamento Microsoft:
-
Escolha ADFS 2.0 e Add Relying Party Trust (Adicionar confiança da parte dependente). Na página Add Relying Party Trust Wizard (Assistente para adicionar confiança da parte dependente) escolha Start (Iniciar).
-
Na página Select Data Source (Selecionar fonte de dados), escolha Import data about the relying party published online or on a local network (Importar dados sobre a parte dependente publicados online ou em uma rede local).
-
Em Federation metadata address (host name or URL) (Endereço de metadados de federação [nome do host ou URL]), insira
https://signin.aws.amazon.com/saml-metadata.xml
. O arquivo XML de metadados é um documento de metadados SAML padrão que descreve a AWS como uma parte confiável. -
Na página Specify Display Name (Especificar nome de exibição), insira um valor para Display name (Nome de exibição).
-
Na página Choose Issuance Authorization Rules (Escolher regras de autorização de emissão), escolha uma regra de autorização de emissão para permitir ou negar que todos os usuários acessem essa parte dependente.
-
Na página Ready to Add Trust (Pronto para adicionar confiança) revise as configurações.
-
Na página Finish (Concluir), escolha Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Abrir a caixa de diálogo Editar regras de reivindicação para esta parte dependente quando o assistente for encerrado).
-
No menu de contexto (clique com o botão direito do mouse), escolha Relying Party Trusts (Confianças de parte dependente).
-
Para sua parte dependente, abra o menu de contexto (clique com o botão direito do mouse) e escolha Edit Claim Rules (Editar regras de reivindicação). Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).
-
Em Claim rule template (Modelo de regra de reivindicação), escolha Transform an Incoming Claim (Transformar uma reivindicação de entrada) e na página Edit Rule – NameId (Editar regra – NameId), faça o seguinte:
-
Em Claim rule name (Nome da regra de reivindicação), insira NameId.
-
Em Incoming claim name (Nome da reivindicação de entrada), escolha Windows Account Name (Nome da conta do Windows).
-
Em Outgoing claim name (Nome da reivindicação de saída), escolha Name ID (ID do nome).
-
Em Outgoing name ID format (Formato de ID de nome de saída), escolha Persistent Identifier (Identificador persistente).
-
Escolha Pass through all claim values (Transmitir todos os valores de reivindicação).
-
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send LDAP Attributes as Claims (Enviar atributos LDAP como reivindicações).
-
Na página Configure Rule (Configurar regra), faça o seguinte:
-
Em Claim rule name (Nome da regra de reivindicação), insira RoleSessionName.
-
Em Attribute store (Armazenamento de atributos), escolha Active Directory.
-
Em LDAP Attribute (Atributo LDAP), escolha Email Addresses (Endereços de e-mail).
-
Para o Tipo de declaração de saída, escolha https://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).
-
Na página Edit Rule – Get AD Groups (Editar regra – Obter grupos do AD), em Claim rule name (Nome da regra de reivindicação), insira Get AD Groups (Obter grupos do AD).
-
Em Custom rule (Regra personalizada), insira o seguinte.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).
-
Na página Edit Rule – Roles (Editar regra – Funções), em Claim rule name (Nome da regra de reivindicação), digite Roles (Funções).
-
Em Custom rule (Regra personalizada), insira o seguinte.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Observe os ARNs do provedor SAML e a função a ser assumida. Neste exemplo,
arn:aws:iam:123456789012:saml-provider/ADFS
é o ARN do provedor SAML earn:aws:iam:123456789012:role/ADFS-
é o ARN da função.
-
-
Certifique-se de que você fez download do arquivo
federationmetadata.xml
. Verifique se o conteúdo do documento não tem caracteres inválidos. Este é o arquivo de metadados que você usa ao configurar a relação de confiança com a AWS. -
Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Azure Enterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.
-
Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.
-
Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.