Windows Server 2016 ADFS - 与 AWS Directory Service 集成

【问题标题】:Windows Server 2016 ADFS - Integration with AWS Directory ServiceWindows Server 2016 ADFS - 与 AWS Directory Service 集成
【发布时间】:2019-06-26 03:39:24
【问题描述】:

我们希望对使用 Windows Server 2016 - ADFS 的许多小型内部 Web 应用程序使用 WebSSO(使用一组凭据进行单点登录) (Active Directory 联合服务)和 AWS Directory Service。我们在 AWS 账户中使用目录服务创建了一个域。在对 AWS Directory Service 执行成功的域加入之后,我尝试在 Windows Server 2016 EC2 实例上使用服务器管理器工具安装和配置 ADFS。 ADFS 配置向导 中的屏幕之一是要求输入域管理员密码。 AWS Directory Service 创建的管理员用户似乎不是域管理员。所以我无法在 Windows EC2 实例上配置 ADFS。

https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/

我想知道是否可以在 AWS Directory Service 中创建 域管理员,其次是否可以使用 SAML 实现 ADFS 和 AWS Directory Service

从下面的 AWS 链接中,我认为默认的“admin”用户与域管理员不同。

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html

任何关于 ADFS 与用于 Web 应用程序的 AWS Directory Service 集成的意见将不胜感激。

注意:我在网上找到了使用 Windows Active Directory 而非 AWS Directory Service 安装/配置 Windows ADFS 的链接。我找到了以下链接,用于将 ADFS 与 IAM 用户的 Active Directory 集成,但对我们帮助不大。

https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/

我们有兴趣将我们的 Web 应用程序与 ADFS/AWS Directory Service for WebSSO 集成。

【问题讨论】:

    标签: amazon-web-services active-directory adfs aws-directory-services


    【解决方案1】:

    我得到了答案。出于安全原因,AWS Directory Service 不提供域管理员帐户。可以针对 AWS Directory Service 配置 Windows ADFS Server 2016。我们应该使用 Powershell 命令而不是向导来配置 ADFS 服务器,因为向导要求提供域管理员帐户。

    这些是步骤:

    • GUID 和证书 ThumbprintID 参数将替换为随附代码中的值
    • 建议使用默认的 AWS 托管 Microsoft AD 管理员帐户“NetBIOSname\Admin”来运行以下所有 PowerShell 命令
    • 您可以创建域用户作为 ADFS 服务帐户并将其用于 $svcCred 凭据变量
    • 您可以将 AWS 托管的 Microsoft AD 管理员用户用于 $localAdminCred 凭据变量

    以下代码将在 Powershell 窗口中运行(以管理员身份运行):

    假设活动目录域 = corp.example.com

    (New-Guid).Guid

New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"

New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"

$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}

$svcCred = (get-credential)

$localAdminCred = (get-credential)

Install-WindowsFeature ADFS-Federation

Install-ADFSFarm -CertificateThumbprint ‎<Thumbprint ID> -FederationServiceName
     "YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
     $localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig 
     -SigningCertificateThumbprint ‎<Thumbprint ID> 
     -DecryptionCertificateThumbprint ‎<Thumbprint ID>

Set-ADFSProperties -EnableIdpInitiatedSignonPage $true

    以下网址对于使用 AWS Directory Service 设置 Windows ADFS 服务器也很有用:

    https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/

    【讨论】:

      猜你喜欢
      • 2017-10-23
      • 2020-01-19
      • 2016-11-05
      • 1970-01-01
      • 2016-11-08
      • 1970-01-01
      • 2021-03-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode