Windows Server 2016 ADFS - интеграция со службой каталогов AWS

Question

Мы хотели бы использовать WebSSO (единый вход с одним набором учетных данных) для ряда небольших внутренних веб-приложений, использующих Windows Server 2016 - ADFS ( служба федерации активных каталогов ) и служба каталогов AWS .Мы создали домен с помощью службы каталогов в нашей учетной записи AWS.Я попытался установить и настроить ADFS с помощью диспетчера сервера на экземпляре Windows Server 2016 EC2 после выполнения успешного присоединения домена к службе каталогов AWS.На одном из экранов Мастер настройки ADFS запрашивается пароль администратора домена .Пользователь с правами администратора, созданный службой каталогов AWS, не является администратором домена.Поэтому я не смог настроить ADFS в экземпляре Windows EC2.

https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/

Мне было интересно, можно ли вообще создать Администратор домена в сервисе каталогов AWS и, во-вторых, возможно ли реализовать ADFS с сервисом каталогов AWS с использованием SAML ?

Из приведенной ниже ссылки AWS я думаю, что пользователь по умолчанию «admin» не совпадает садминистратор домена.

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html

Любые замечания по интеграции ADFS с AWS Directory Service для веб-приложений будут с благодарностью приняты.

Примечание. Я нашел ссылки в сетиустановить / настроить Windows ADFS с Windows Active Directory, но не с AWS Directory Service.Я нашел ссылку ниже для интеграции ADFS с Active Directory для пользователей IAM, но это нам не сильно помогло.

https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/

Мы заинтересованы в интеграции наших веб-приложений с ADFS / AWS Directory Service для WebSSO.

Answer 1

Я получил ответ.Служба каталогов AWS не предоставляет учетную запись администратора домена по соображениям безопасности.Windows ADFS Server 2016 можно настроить для службы каталогов AWS.Мы должны использовать команды Powershell вместо мастера для настройки сервера ADFS, поскольку мастер запрашивает учетную запись администратора домена.

foll.следующие шаги:

• Параметры GUID и сертификата ThumbprintID, которые должны быть заменены вашими значениями в прилагаемом коде
• Рекомендуется использовать учетную запись администратора по умолчанию для Microsoft AD, управляемую AWS «NetBIOSname \ Admin».для использования всех перечисленных ниже команд PowerShell
• Вы можете создать пользователя домена в качестве учетной записи службы ADFS и использовать его для переменной $ svcCred.
• Вы можете использовать управляемого администратора AD AD Microsoft дляучетная переменная $ localAdminCred

Приведенный ниже код должен запускаться в окне Powershell (запуск от имени администратора):

Предполагая, что домен активного каталога = corp.example.com

(New-Guid).Guid

New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"

New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"

$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}

$svcCred = (get-credential)

$localAdminCred = (get-credential)

Install-WindowsFeature ADFS-Federation

Install-ADFSFarm -CertificateThumbprint ‎<Thumbprint ID> -FederationServiceName
     "YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
     $localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig 
     -SigningCertificateThumbprint ‎<Thumbprint ID> 
     -DecryptionCertificateThumbprint ‎<Thumbprint ID>

Set-ADFSProperties -EnableIdpInitiatedSignonPage $true

фолл.URL также полезен для настройки Windows ADFS Server с сервисом каталогов AWS:

https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/