Comment puis-je configurer AD FS sur une instance Amazon EC2 Windows de manière à prendre en charge la fédération pour un groupe d'utilisateurs Amazon Cognito ?

Date de la dernière mise à jour : 27/09/2021

Je souhaite utiliser AD FS (Active Directory Federation Services) comme fournisseur d'identité SAML 2.0 (Security Assertion Markup Language 2.0) avec un groupe d'utilisateurs Amazon Cognito. Comment configurer AD FS sur une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) ?

Brève description

Utilisez le Gestionnaire de serveur pour configurer un serveur AD FS et un contrôleur de domaine à l'aide sur une instance EC2 Windows.

Solution

Avant de commencer, consultez les instructions de la rubrique Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ? Vous avez besoin d'un groupe d'utilisateurs Amazon Cognito avec un client d'application pour procéder à la configuration décrite dans cet article.

Vous devez également posséder un nom de domaine. Si vous n'avez pas de domaine, vous pouvez enregistrer un nouveau domaine avec Amazon Route 53 ou un autre service de système de noms de domaine (DNS).

Configurer et lancer une instance Windows EC2

  1. Ouvrez la console Amazon EC2.
  2. Depuis le tableau de bord de la console, sélectionnez Lancer une instance pour lancer l'assistant de lancement d'instance.
  3. Sur la page Sélection d'une Image machine Amazon (AMI), sélectionnez une AMI pour Windows Server, telle que l'AMI Microsoft Windows Server 2016 Base. Pour en savoir plus, consultez Recherche d'une AMI Windows.
  4. Sur la page Configurer le groupe sécurité, créez un groupe de sécurité pour votre instance, puis ajoutez-y les règles suivantes :
    Type :
    RDP
    Source :
    une adresse IP en notation CIDR (a.b.c.d/z), ou un bloc d'adresse CIDR
    Remarque :
    pour l'adresse IP ou le bloc que vous spécifiez dans Source, une bonne pratique consiste à utiliser un ensemble d'adresses IP dont l'autorisation est autorisée.
    Type : HTTP

    Source : N'importe où
    Type : HTTPS

    Source : N'importe où

    Pour en savoir plus, consultez les sections Groupes de sécurité Amazon EC2 pour les instances Windows et Ajout de règles à un groupe de sécurité.
  5. Sur la page Examiner le lancement de l'instance, choisissez Lancer.
  6. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une paire de clés, suivez les instructions pour choisir une paire de clés existante ou pour créer une paire de clés. Pour en savoir plus, consultez Paires de clés Amazon EC2 et instances Linux.
    Important :
    Enregistrez le fichier de clé privée .pem comme paire de clés. Vous l’utiliserez pour vous connecter à votre instance Windows EC2.
  7. Choisissez Lancer des instances.

Comment associer une adresse Elastic IP à votre instance EC2 Windows

  1. SI vous ne l'avez pas encore fait, affectez une adresse IP élastique à votre compte AWS.
  2. Associez votre adresse IP élastique avec votre instance Windows EC2 de façon à avoir une adresse IP publique persistante qui lui corresponde.

Créez un enregistrement pour votre domaine en utilisant votre adresse Elastic IP

Le domaine que vous utilisez pour Active Directory Domain Services (AD DS) doit avoir un registre A (adresse IPv4) avec une adresse IP élastique en tant que valeur. Créez cet enregistrement pour votre domaine en utilisant l'adresse IP Elastic associée à votre instance EC2 Windows.

Pour plus en savoir plus, consultez la section Créer des registres à l'aide de la console Amazon Route 53.

Installation d'AD DS, du serveur Web (IIS) et d'AD FS sur votre instance EC2 Windows

  1. Connectez-vous à votre instance EC2 Windows.
  2. Sous Windows, ouvrez le Gestionnaire de serveur, puis utilisez l'Assistant Ajout de rôles et de fonctions pour installer les rôles suivants :
    Services de domaine Active Directory
    Active Directory Federation Services
    Serveur web (IIS)

Pour plus d'informations sur l'utilisation de l'Assistant, consultez Installer ou désinstaller des rôles, des services de rôle ou des fonctionnalités sur le site web de Microsoft.

Configurer AD DS sur votre instance EC2 Windows

  1. Dans le Gestionnaire de serveur, utilisez l'assistant de configuration des services de domaine Active Directory pour configurer AD DS. Pour plus d'informations, consultez Installation d'AD DS à l'aide du Gestionnaire de serveur sur le site web de Microsoft. Suivez les instructions sous Installer AD DS en utilisant le gestionnaire de serveur, en commençant par l'étape 9.
    Remarque :
     dans l'assistant, sur la page Configuration de déploiement, saisissez votre nom de domaine (par exemple, exemple.com).
  2. Une fois la configuration terminée, Windows vous informe que vous êtes sur le point d'être déconnecté. Cela est normal. Patientez quelques minutes le temps que le serveur redémarre, puis reconnectez-vous à votre instance EC2 Windows.

Configuration de la liaison de site http dans IIS

Dans le gestionnaire de serveur, utilisez IIS pour modifier la liaison de site http de votre site web. Pour plus d'informations, consultez la rubrique Comment ajouter des informations de liaison à un site sur le site web de Microsoft.

Important : lorsque vous modifiez la liaison http dans IIS, saisissez votre nom de domaine dans le champ Nom d'hôte (par exemple, exemple.com). Cependant, ne modifiez pas les valeurs d'Adresse IP (Toutes dissociées) ou Port (80).

Configuration de votre instance EC2 Windows pour autoriser les téléchargements de fichiers

Demander un certificat numérique pour votre domaine

Vous avez besoin d'un certificat de serveur SSL pour configurer des liaisons HTTPS pour votre site web IIS. Pour obtenir un certificat tiers pour votre domaine, téléchargez et utilisez l'outil de création de certificat tiers de votre choix.

Pour plus d'informations, consultez la section Choix d'un certificat sur le site web de Microsoft.

(Facultatif) Configuration de la liaison de site HTTPS dans IIS

Si l'outil de création de certificat que vous avez utilisé n'ajoute pas automatiquement de liaison de site https dans IIS, vous pouvez ajouter vous-même la liaison de site, comme vous l'avez fait précédemment pour la liaison http.

Pour plus d'informations, consultez la section Création d'une liaison SSL sur le site web Microsoft Docs.

Configuration d'AD FS sur votre instance EC2 Windows

Dans le gestionnaire de serveur, utilisez l'assistant de configuration de serveur de fédération AD FS pour configurer l'instance EC2 Windows en tant que serveur de fédération. Pour plus d'informations, consultez la section Contrôleurs de domaine Windows Server 2008 ou 2008 R2 sur le site web de Microsoft.

Remarque : sur la page Spécifier le compte de service de l'Assistant. Une fois à la boîte de dialogue Sélectionner le compte d'utilisateur ou de service, sélectionnez l'utilisateur nommé Administrateur, puis saisissez le mot de passe que vous avez utilisé pour Bureau à distance pour vous connecter à l'instance EC2 Windows.

Création d'un utilisateur dans Active Directory

Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour créer un nouvel utilisateur dans Active Directory. Ajoutez le nouvel utilisateur au groupe Administrateurs.

Pour plus d'informations, consultez la rubrique Créer un utilisateur et ajouter à un groupe sur le site web de Microsoft.

Ajouter une adresse e-mail pour votre utilisateur Active Directory

  1. Après avoir créé un nouvel utilisateur, dans l'outil Utilisateurs et ordinateurs Active Directory, double-cliquez sur Utilisateurs pour ouvrir la liste des utilisateurs.
  2. Dans la liste des utilisateurs, recherchez l'utilisateur que vous avez créé. Faites un clic droit sur l'utilisateur pour ouvrir le menu contextuel, puis choisissez Propriétés.
  3. Dans la fenêtre Propriétés du nom d'utilisateur, sous E-mail, saisissez une adresse e-mail valide pour l'utilisateur. Cette adresse e-mail est incluse dans l'assertion SAML ultérieurement.

Pour plus d'informations, consultez la page Propriétés générales sur le site web de Microsoft.

Ajouter une approbation pour une partie de confiance sur demande dans AD FS

Remarque : pour cette partie, vous devez avoir les informations de votre groupe d'utilisateurs Amazon Cognito sur la console Amazon Cognito. Pour plus d'informations, consultez la section Ajout de fournisseurs d'identité SAML à un groupe d’utilisateurs.

Dans le gestionnaire de serveur, utilisez Add Relying Party Trust Wizard (Assistant d'ajout d’une approbation de partie de confiance) pour ajouter une relation d'approbation de partie de confiance prenant en charge les revendications.
Sur la page Configure URL (Configuration de l'URL) de l'assistant, sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0. Pour URL de service de partie de confiance SAML 2.0 SSO, saisissez une URL de point de terminaison de consommateur d'assertion, formatée comme suit : https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse.
Remarque : remplacez yourDomainPrefix par votre préfixe de domaine de groupe d'utilisateurs Amazon Cognito. Remplacez region par la région AWS du groupe d’utilisateurs (par exemple, « us-east-1 »).

Sur la page de l’assistant Configure Identifiers (Configurer les identificateurs), pour Relying party trust identifier (Identificateur d'approbation de partie de confiance), saisissez cette URN : urn:amazon:cognito:sp:yourUserPoolID.
Remarque : remplacez yourUserPoolID par l'ID de votre groupe d'utilisateurs Amazon Cognito (par exemple, « us-east-1_g2zxiEbac »).

Pour plus d'informations, consultez Créer manuellement une approbation de partie de confiance prenant en charge les revendications sur le site web de Microsoft.

Modifier la politique d'émission des revendications de votre application dans AD FS

Ajoutez une règle à la confiance que vous avez créée pour envoyer des attributs LDAP en tant que revendications. Utilisez l’Assistant Ajout d'approbation de partie de confiance. Sur la page Configurer une règle, exécutez les opérations suivantes :

  • Dans Nom de la règle de revendication , saisissez E-mail.
  • Dans Magasin d’attributs, sélectionnez Active Directory.
  • Dans Attribut LDAP, sélectionnez Adresse e-mail.
  • Pour Type de revendication sortante, choisissez Adresse e-mail.

Pour en savoir plus, consultez la section Créer une règle permettant d'envoyer des attributs LDAP en tant que revendications pour une partie de confiance dans Windows Server 2016 sur le site web de Microsoft.

Remarque : pour voir apparaître à la fois les demandes ID d'e-mail et ID de nom en tant qu'adresse e-mail de l'utilisateur dans l'assertion SAML de la réponse SAML, mappez l'adresse e-mail entrante provenant d'Active Directory à la demande Name ID sortante. Si vous utilisez cette approche, créez plutôt une règle pour envoyer des attributs LDAP comme demande. Pour plus d'informations, consultez Créer une règle pour envoyer des attributs LDAP en tant que revendications pour Windows Server 2012 R2 sur le site web de Microsoft.

Tester l'URL de métadonnées de fournisseur d'identité SAML pour votre serveur

Saisissez l'URL de point de terminaison de document de métadonnées suivante dans votre navigateur web après avoir remplacé exemple.com par votre nom de domaine :

https://example.com/federationmetadata/2007-06/federationmetadata.xml

Si vous êtes invité à télécharger le fichier federationmetadata.xml, cela signifie que tout a été correctement configuré. Notez l'URL que vous avez utilisée ici ou téléchargez le fichier .xml. Vous avez besoin de l'URL ou du fichier pour configurer SAML dans la console Amazon Cognito. Pour en savoir plus, consultez la section Intégration de fournisseurs d'identité SAML tiers à des groupes d'utilisateurs Amazon Cognito.

Configurer AD FS en tant que fournisseur d'identité SAML dans Amazon Cognito

Une fois que vous avez terminé toutes les étapes de cet article, poursuivez la configuration dans la console Amazon Cognito. Pour plus d'informations, consultez la section Comment configurer AD FS en tant que fournisseur d'identité SAML avec un groupe d'utilisateurs Amazon Cognito ?.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?