Windows Server 2016 ADFS - интеграция со службой каталогов AWS
Мы хотели бы использовать WebSSO(единый вход с одним набором учетных данных) для ряда небольших внутренних веб-приложений, использующих Windows Server 2016 - ADFS (служба федерации активных каталогов) и AWS Directory Service. Мы создали домен с помощью службы каталогов в нашей учетной записи AWS. Я попытался установить и настроить ADFS с помощью Server Manager Tool в экземпляре Windows Server 2016 EC2 после успешного присоединения домена к службе каталогов AWS. Один из экранов в мастере настройки ADFS запрашивает пароль администратора домена. Пользователь с правами администратора, созданный службой каталогов AWS, не является администратором домена. Поэтому я не смог настроить ADFS на экземпляре Windows EC2.
https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/
Мне было интересно, возможно ли вообще создать Администратора домена в AWS Directory Service, и, во-вторых, возможно ли реализовать ADFS с AWS Directory Service, используя SAML?
Из приведенной ниже ссылки AWS я думаю, что пользователь по умолчанию "admin" - это не то же самое, что администратор домена.
Будем благодарны за любые замечания по интеграции ADFS с AWS Directory Service для веб-приложений.
Примечание. В сети я нашел ссылки для установки / настройки Windows ADFS с Windows Active Directory, но не с AWS Directory Service. Я нашел ссылку ниже для интеграции ADFS с Active Directory для пользователей IAM, но это нам не сильно помогло.
Мы заинтересованы в интеграции наших веб-приложений с ADFS / AWS Directory Service для WebSSO.
1 ответ
Я получил ответ. Служба каталогов AWS не предоставляет учетную запись администратора домена по соображениям безопасности. Windows ADFS Server 2016 можно настроить для службы каталогов AWS. Мы должны использовать команды Powershell вместо мастера для настройки сервера ADFS, поскольку мастер запрашивает учетную запись администратора домена.
Фолл. это шаги:
- Параметры GUID и сертификата ThumbprintID должны быть заменены вашими значениями в прилагаемом коде
- Рекомендуется использовать стандартную управляемую AWS учетную запись администратора Microsoft AD "NetBIOSname\Admin" для выполнения всех приведенных ниже команд PowerShell.
- Вы можете создать пользователя домена в качестве учетной записи службы ADFS и использовать его для переменной-переменной $svcCred.
- Вы можете использовать управляемый AWS пользователь Microsoft AD Admin для переменной учетных данных $localAdminCred
Код ниже должен быть запущен в окне Powershell (запуск от имени администратора):
Предполагая, что активная директория domain = corp.example.com
(New-Guid).Guid
New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"
New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"
$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}
$svcCred = (get-credential)
$localAdminCred = (get-credential)
Install-WindowsFeature ADFS-Federation
Install-ADFSFarm -CertificateThumbprint <Thumbprint ID> -FederationServiceName
"YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
$localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig
-SigningCertificateThumbprint <Thumbprint ID>
-DecryptionCertificateThumbprint <Thumbprint ID>
Set-ADFSProperties -EnableIdpInitiatedSignonPage $true
Фолл. URL также полезен для настройки Windows ADFS Server с сервисом каталогов AWS: