本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AD FS
本教學課程說明如何使用 AD FS 作為身分提供者 IdP ) 來存取 Amazon Redshift 叢集。
步驟 1:設定 AD FS 和您的 AWS 帳戶以彼此信任
下列程序說明如何設定信任關係。
-
建立或使用現有的 Amazon Redshift 叢集,以供 AD FS 使用者連線。若要設定連線,則需要此叢集的特定屬性,例如叢集識別碼。如需詳細資訊,請參閱建立叢集。
-
設定 AD FS 以控制 Microsoft 管理主控台上的 Amazon Redshift 存取:
-
選擇 ADFS 2.0,然後選擇新增 Relying Party Trust。在 Add Relying Party Trust Wizard (新增信賴方信任精靈) 頁面上,選擇 Start (開始)。
-
在 Select Data Source (選取資料來源) 頁面上,選擇 Import data about the relying party published online or on a local network (匯入關於在線上或本機網路上發佈信賴方的資料)。
-
對於聯合中繼資料地址 (主機名稱或 URL),輸入
https://signin.aws.amazon.com/saml-metadata.xml
。中繼資料XML檔案是描述 AWS 為依賴方的標準SAML中繼資料文件。 -
在 Specify Display Name (指定顯示名稱) 頁面上,輸入 Display name (顯示名稱) 的值。
-
在 Choose Issuance Authorization Rules (選擇發行授權規則) 頁面上,選擇允許或拒絕所有使用者存取此信賴方的發行授權規則。
-
在 Ready to Add Trust (準備新增信任) 頁面上檢閱您的設定。
-
在 Finish (完成) 頁面上,選擇 Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (當精靈關閉時,開啟此信賴方信任的「編輯宣告規則」對話方塊)。
-
在內容 (按一下滑鼠右鍵) 功能表上,選擇 Relying Party Trusts (依賴方信任)。
-
針對您的信賴方,開啟內容 (按一下滑鼠右鍵) 功能表,然後選擇 Edit Claim Rules (編輯宣告規則)。在 Edit Claim Rules (編輯宣告規則) 頁面上,選擇 Add Rule (新增規則)。
-
針對宣告規則範本 ,選擇轉換傳入宣告 ,然後在編輯規則 - NameId 頁面上執行下列動作:
-
ForClaim 規則名稱 ,請輸入 NameId。
-
針對 Incoming claim name (傳入宣告名稱),選擇 Windows Account Name (Windows 帳戶名稱)。
-
針對 Outgoing claim name (傳出宣告名稱),選擇 Name ID (名稱 ID)。
-
針對 Outgoing name ID format (傳出名稱 ID 格式),選擇 Persistent Identifier (持久性標識符)。
-
選擇 Pass through all claim values (傳遞所有宣告值)。
-
-
在 Edit Claim Rules (編輯宣告規則) 頁面上,選擇 Add Rule (新增規則)。在選取規則範本頁面上,針對宣告規則範本 ,選擇將LDAP屬性作為宣告傳送。
-
在 Configure Rule (設定規則) 頁面上,執行下列作業:
-
針對 Claim rule name (宣告規則名稱),輸入 RoleSessionName。
-
針對 Attribute store (屬性存放區),選擇 Active Directory。
-
對於LDAP屬性 ,選擇電子郵件地址 。
-
針對 傳出宣告類型,選擇 https://aws.amazon.com/SAML/Attributes/RoleSessionName。
-
-
在 Edit Claim Rules (編輯宣告規則) 頁面上,選擇 Add Rule (新增規則)。在 Select Rule Template (選取規則範本) 頁面上,針對 Claim rule template (宣告規則範本),選擇 Send Claims Using a Custom Rule (使用自訂規則傳送宣告)。
-
在 Edit Rule – Get AD Groups (編輯規則 – 取得 AD 群組) 頁面上,針對 Claim rule name (宣告規則名稱),輸入 Get AD Groups (取得 AD 群組)。
-
針對 Custom rule (自訂規則),輸入下列內容。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
在 Edit Claim Rules (編輯宣告規則) 頁面上,選擇 Add Rule (新增規則)。在 Select Rule Template (選取規則範本) 頁面上,針對 Claim rule template (宣告規則範本),選擇 Send Claims Using a Custom Rule (使用自訂規則傳送宣告)。
-
在 Edit Rule – Roles (編輯規則 – 角色) 頁面上,針對 Claim rule name (宣告規則名稱),輸入 Roles (角色)。
-
針對 Custom rule (自訂規則),輸入下列內容。
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
請注意要擔任ARNs的SAML提供者和角色的 。在此範例中,
arn:aws:iam:123456789012:saml-provider/ADFS
是 SAML 提供者ARN的 ,arn:aws:iam:123456789012:role/ADFS-
是 角色ARN的 。
-
-
請確定您已下載
federationmetadata.xml
檔案。檢查文件內容沒有無效的字元。這是您在設定與 AWS的信任關係時,使用的中繼資料檔案。 -
在IAM主控台上建立IAMSAML身分提供者。您提供的中繼資料文件是您在設定 Azure Enterprise Application 時儲存的聯合中繼資料XML檔案。如需詳細步驟,請參閱 IAM 使用者指南 中的建立和管理IAM身分提供者 (主控台)。
-
在IAM主控台上建立 SAML 2.0 聯合IAM的角色。如需詳細步驟,請參閱 IAM 使用者指南 中的為 建立角色SAML。
-
建立IAM政策,您可以在IAM主控台上連接到您為 SAML 2.0 聯合建立IAM的角色。如需詳細步驟,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)。如需 Azure AD 範例,請參閱設定 JDBC 或ODBC單一登入身分驗證。