Comment configurer AD FS sur une instance Amazon EC2 Windows de manière à prendre en charge la fédération pour un groupe d'utilisateurs Amazon Cognito ?

Dernière mise à jour : 31/08/2020

Je souhaite utiliser AD FS (Active Directory Federation Services) en tant que fournisseur d'identité SAML 2.0 (Security Assertion Markup Language 2.0) avec un groupe d'utilisateurs Amazon Cognito. Comment configurer AD FS sur une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) ?

Brève description

Utilisez le Gestionnaire de serveur pour configurer un serveur AD FS et un contrôleur de domaine à l'aide sur une instance EC2 Windows.

Résolution

Avant de commencer, consultez les instructions de la rubrique Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ? Vous avez besoin d'un groupe d'utilisateurs Amazon Cognito avec un client d'application pour procéder à la configuration décrite dans cet article.

Vous devez également posséder un nom de domaine. Si vous ne possédez pas de domaine, vous pouvez enregistrer un nouveau domaine avec Amazon Route 53 ou un autre service DNS (Système de nom de domaine).

Configuration et lancement d'une instance EC2 Windows

  1. Ouvrez la console Amazon EC2.
  2. Depuis le tableau de bord de la console, sélectionnez Lancer une instance pour lancer l'assistant de lancement d'instance.
  3. Sur la page Sélection d'une Image machine Amazon (AMI), sélectionnez une AMI pour Windows Server, telle que l'AMI Microsoft Windows Server 2016 Base. Pour plus d'informations, consultez la section Recherche d'une AMI Windows.
  4. Sur la page Configurer le groupe sécurité, créez un groupe de sécurité pour votre instance, puis ajoutez-y les règles suivantes :
    Type : RDP
    Source : un adresse IP en notation CIDR (a.b.c.d/z), ou un bloc CIDR
    Remarque : pour l'adresse IP ou le bloc que vous spécifiez dans Source, il est recommandé d'utiliser un ensemble d'adresses IP dont l'autorisation est reconnue.
    Type : HTTP
    Source : N'importe où
    Type : HTTPS
    Source : N'importe où
    Pour plus d'informations, consultez les sections Groupes de sécurité Amazon EC2 pour les instances Windows et Ajout de règles à un groupe de sécurité.
  5. Sur la page Examiner le lancement de l'instance, sélectionnez Lancer.
  6. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une paire de clés, suivez les instructions pour choisir une paire de clés existante ou créer une paire de clés. Pour plus d'informations, consultez les Paires de clés Amazon EC2 et instances Linux.
    Important : enregistrez le fichier .pem de clé privée pour votre paire de clés. Vous en aurez besoin pour vous connecter à votre instance EC2 Windows.
  7. Sélectionnez Lancer des instances.

Associer une adresse IP Elastic à votre instance EC2 Windows

  1. Si ce n’est pas déjà fait, attribuez une adresse IP Elastic à votre compte AWS.
  2. Associez votre adresse IP Elastic à votre instance EC2 Windows de façon à avoir une adresse IP publique persistante qui lui corresponde.

Créer un enregistrement pour votre domaine en utilisant votre adresse IP Elastic

Un enregistrement A (adresse IPv4), avec pour valeur une adresse IP Elastic, doit être configuré pour le domaine que vous utilisez pour les services de domaine Active Directory (AD DS) . Créez cet enregistrement pour votre domaine en utilisant l'adresse IP Elastic associée à votre instance EC2 Windows.

Pour plus d'informations, consultez la section Créer des enregistrements à l'aide de la console Amazon Route 53.

Installation d'AD DS, du serveur Web (IIS) et d'AD FS sur votre instance EC2 Windows

  1. Connectez-vous à votre instance EC2 Windows.
  2. Dans Windows, ouvrez le Gestionnaire de serveur, puis utilisez l'assistant Ajouter des rôles et fonctionnalités pour installer les rôles suivants :
    Services de domaine Active Directory
    Services de fédération Active Directory
    Serveur Web (IIS)

Pour plus d'informations sur l'utilisation de l'assistant, consultez la section Installation ou désinstallation de rôles, de services de rôle et de fonctionnalités sur le site Web Microsoft Docs.

Configurer AD DS sur votre instance EC2 Windows

  1. Dans le Gestionnaire de serveur, utilisez l'assistant de configuration des services de domaine Active Directory pour configurer AD DS. Pour plus d'informations, consultez la section Installation d'AD DS à l'aide du Gestionnaire de serveur sur le site Web Microsoft Docs. Suivez les instructions sous la section Pour installer AD DS à l'aide du Gestionnaire de serveur, en commençant par l'étape 9.
    Remarque : dans l'assistant, sur la page Configuration de déploiement, saisissez votre nom de domaine (par exemple, exemple.com).
  2. Une fois la configuration terminée, Windows vous informe que vous êtes sur le point d'être déconnecté. Cela est normal. Patientez quelques minutes le temps que le serveur redémarre, puis reconnectez-vous à votre instance EC2 Windows.

Configuration de la liaison de site http dans IIS

Dans le gestionnaire de serveur, utilisez IIS pour modifier la liaison de site http de votre site Web. Pour plus d'informations, consultez Comment ajouter des informations de liaison à un site sur le site Web Microsoft Docs.

Important : lorsque vous modifiez la liaison http dans IIS, saisissez votre nom de domaine dans le champ Host name (Nom d’hôte) (par exemple, exemple.com). Cependant, ne modifiez pas les valeurs IP address (All Unassigned) (Adresse IP [Toutes dissociées]) ou Port (80).

Configuration de votre instance EC2 Windows pour autoriser les téléchargements de fichiers

Pour plus d'informations, consultez la section Comment configurer une instance EC2 Windows pour autoriser les téléchargements de fichiers à l'aide d'Internet Explorer ?.

Demander un certificat numérique pour votre domaine

Vous avez besoin d'un certificat de serveur SSL pour configurer des liaisons HTTPS pour votre site Web IIS. Pour obtenir un certificat tiers pour votre domaine, téléchargez et utilisez l’outil de création de certificat tiers de votre choix.

Pour plus d'informations, consultez la rubrique Sélection d'un certificat sur le site Web Microsoft Docs.

(Facultatif) Configuration de la liaison de site HTTPS dans IIS

Si l'outil de création de certificat que vous avez utilisé n'ajoute pas automatiquement de liaison de site https dans IIS, ajoutez vous-même la liaison de site, comme vous l'avez fait précédemment pour la liaison http .

Pour plus d'informations, consultez la section Création d’une liaison SSL sur le site Web Microsoft Docs.

Configuration d'AD FS sur votre instance EC2 Windows

Dans le gestionnaire de serveur, utilisez l’assistant de configuration de serveur de fédération AD FS pour configurer l'instance EC2 Windows en tant que serveur de fédération. Pour plus d'informations, consultez la section Contrôleurs de domaine Windows Server 2008 ou 2008 R2 sur le site Web Microsoft Docs.

Remarque : sur la page Specify Service Account (Spécifier le compte de service) de l'assistant, lorsque vous accédez à la boîte de dialogue Select User or Service Account (Sélectionner un utilisateur ou un compte de service), sélectionnez l'utilisateur nommé Administrator (Administrateur), puis saisissez le mot de passe que vous avez utilisé pour vous connecter à l'instance EC2 Windows à l'aide des services de Bureau à distance.

Création d'un utilisateur dans Active Directory

Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour créer un nouvel utilisateur dans Active Directory. Ajoutez le nouvel utilisateur au groupe Administrateurs.

Pour plus d'informations, consultez la rubrique Créer un utilisateur et l'ajouter à un groupe sur le site Web Microsoft Docs.

Ajout d’une adresse e-mail pour votre utilisateur Active Directory

  1. Après avoir créé un nouvel utilisateur, dans l'outil Utilisateurs et ordinateurs Active Directory, double-cliquez sur Utilisateurs pour ouvrir la liste des utilisateurs.
  2. Dans la liste des utilisateurs, recherchez l'utilisateur que vous avez créé. Cliquez avec le bouton droit sur l'utilisateur pour ouvrir le menu contextuel, puis sélectionnez Properties (Propriétés).
  3. Dans la fenêtre Properties (Propriétés) du nom d'utilisateur, sous E-mail, saisissez une adresse e-mail valide pour l'utilisateur. Cette adresse e-mail est incluse dans l'assertion SAML ultérieurement.

Pour plus d'informations, consultez la section Page de propriétés générales sur le site Web Microsoft Docs.

Créer une approbation de partie de confiance prenant en charge les revendications dans AD FS

Remarque : pour cette procédure, vous aurez besoin d'informations relatives à votre groupe d'utilisateurs Amazon Cognito consultables dans la console Amazon Cognito. Pour plus d'informations, consultez la section Ajout de fournisseurs d'identité SAML à un groupe d’utilisateurs.

Dans le gestionnaire de serveur, utilisez Add Relying Party Trust Wizard (Assistant d'ajout d’une approbation de partie de confiance) pour ajouter une relation d'approbation de partie de confiance prenant en charge les revendications.
Sur la page Configure URL (Configuration de l'URL) de l'assistant, sélectionnez Enable support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole WebSSO SAML 2.0). Pour Relying party SAML 2.0 SSO service URL (URL de service de partie de confiance SAML 2.0 SSO), saisissez une URL de point de terminaison de consommateur d'assertion, formatée comme suit : https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Remarque : remplacez yourDomainPrefix par votre préfixe de domaine de groupe d'utilisateurs Amazon Cognito. Remplacez region par la région AWS de votre groupe d'utilisateurs (par exemple, « us-east-1 »).

Sur la page de l’assistant Configure Identifiers (Configurer les identificateurs), pour Relying party trust identifier (Identificateur d'approbation de partie de confiance), saisissez cette URN : urn:amazon:cognito:sp:yourUserPoolID.
Remarque : remplacez yourUserPoolID par l'ID de votre groupe d'utilisateurs Amazon Cognito (par exemple, "us-east-1_g2zxiEbac").

Pour plus d'informations, consultez la section Créer une approbation de partie de confiance prenant en charge les revendications manuellement sur le site Web Microsoft Docs.

Modification de votre stratégie de diffusion des revendications de votre application dans AD FS

Ajouter une règle à la stratégie d'approbation que vous avez créée pour envoyer des demandes en tant qu'attributs LDAP. Utilisez l'assistant Add Relying Party Trust Wizard pour ajouter la règle. Sur la page Configure Rule (Configurer la règle), procédez de la façon suivante :

  • Pour Claim rule name (Nom de règle de revendication), saisissez Email (E-mail).
  • Pour Attribute store (Stockage d’attribut), sélectionnez Active Directory.
  • Pour LDAP Attribute (Attribut LDAP), sélectionnez E-Mail-Addresses (Adresses e-mail).
  • Pour Outgoing Claim Type (Type de revendication sortante), sélectionnez E-Mail Address (Adresse e-mail).

Pour plus d'informations, consultez la section Créer une règle pour envoyer des attributs LDAP en tant que revendications pour une approbation de partie de confiance dans Windows Server 2016 sur le site Web Microsoft Docs.

Remarque : pour voir apparaître à la fois les revendications Email ID (ID d'e-mail) et Name ID (ID de nom) en tant qu'adresse e-mail de l'utilisateur dans l’assertion SAML de la réponse SAML, mappez l'adresse e-mail entrante provenant d'Active Directory à la revendication Name ID sortante. Si vous utilisez cette approche, créez plutôt une règle pour envoyer des attributs LDAP comme revendications. Pour plus d'informations, consultez la section Créer une règle pour envoyer des attributs LDAP en tant que revendications pour Windows Server 2012 R2 sur le site Web Microsoft Docs.

Tester l'URL de métadonnées de fournisseur d'identité SAML pour votre serveur

Saisissez l'URL de point de terminaison de document de métadonnées suivante dans votre navigateur Web après avoir remplacé exemple.com par votre domaine :

https://example.com/federationmetadata/2007-06/federationmetadata.xml

Si vous êtes invité à télécharger le fichier federationmetadata.xml, cela signifie que tout a été correctement configuré. Notez l'URL que vous avez utilisée ici ou téléchargez le fichier .xml. Vous avez besoin de l'URL ou du fichier pour configurer SAML dans la console Amazon Cognito. Pour plus d'informations, consultez la section Intégration de fournisseurs d'identité SAML tiers à des groupes d'utilisateurs Amazon Cognito.

Configurer AD FS en tant que fournisseur d'identité SAML dans Amazon Cognito

Une fois toutes les étapes de cet article réalisées, poursuivez la configuration dans la console Amazon Cognito. Pour plus d'informations, consultez la section Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?.