此解决方案在 Amazon Web Services(AWS)Cloud 上部署 Web 应用程序代理(WAP)和 Active Directory 联合身份验证服务(AD FS)。它适用于想要对在 AWS 上运行的 Web 应用程序提供无缝外部访问的企业。
AD FS 是一个 Windows Server 角色,用于对用户进行身份验证,并为信任 AD FS 的应用程序或联盟伙伴应用程序提供安全令牌。Windows Server 上的 Web 应用程序代理角色利用代理请求为外部用户提供 AD FS 访问,而无需连接虚拟专用网络(VPN)。通过有选择性地发布连接并进行预验证,您可以管理企业网络外部的用户访问内部 Web 应用程序。
此解决方案由 AWS 开发。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
本解决方案设置了以下内容:
- 跨两个可用区的高度可用的架构。*
- 一个根据 AWS 最佳实践配置有公有子网和私有子网的 Virtual Private Cloud (VPC),用于在 AWS 上为您提供您自己的虚拟网络。*
- 一个用于提供互联网访问权限的互联网网关。*
- 在公有子网中:
- 托管网络地址转换 (NAT) 网关,允许对私有子网中的资源进行出站互联网访问。*
- 自动扩缩组中的 Microsoft Remote Desktop Gateway(RD Gateway)实例,提供入站远程管理访问。*
- Web 应用程序代理服务器可提供到 Web 应用程序的安全入站连接。
- 在私有子网中:
- 安全组中的两个 Active Directory 域控制器。它们充当企业证书颁发机构(CA),向 AD FS 基础设施颁发所需的 SSL 证书。
- 在 Windows Server 2022 上运行的安全组中的两个 AD FS 服务器。
* 将此解决方案部署到现有 VPC 中的模板会跳过标有星号的任务,并提示您使用现有 VPC 配置。
-
如何部署
-
要部署此解决方案,请遵循部署指南中的说明操作,其中包括这些步骤。
- 完成部署指南中的预部署步骤。
- 登录您的 AWS 账户。如果您还没有账户,请访问 https://aws.amazon.com 进行注册。
- 完成部署指南中的预部署步骤。
- 启动解决方案。堆栈部署时间约为 1.5 个小时。在创建堆栈之前,从顶部工具栏中选择 AWS 区域。您可以从以下选项中选择:
- 完成部署指南中的部署后步骤。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
- 完成部署指南中的预部署步骤。
-
费用和许可证
-
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?
