实验概览
本实验将指导您使用 AWS Identity and Access Management (IAM) 配置 Active Directory 联合身份验证服务 (AD FS),从而让 Active Directory 用户和组能够访问 AWS 管理控制台。您将利用 AWS 对安全断言标记语言 (SAML) 的支持,这是许多身份验证提供商 (IdP) 都在使用的一种开放标准。此功能激活了联合单点登录 (SSO),借助联合 SSO,用户可以登录控制台,或者通过使用符合 SAML 标准的 IdP(如 AD FS)的断言功能,以编程方式调用 AWS 应用程序编程接口 (API)。使用身份联合,外部身份或联合身份用户可以安全访问 AWS 账户中的资源,无需您创建 IAM 用户。
重要提示 本实验使用 Fleet Manager 远程桌面(AWS Systems Manager 的一项功能)连接到基于 Windows 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。在编写本实验时,Fleet Manager 远程桌面仅支持在基于 Chromium 的 Web 浏览器(例如 Google Chrome)中与本地计算机之间进行双向复制和粘贴。
如果您使用备用 Web 浏览器,则仍可以完成实验,但无法从实验说明中复制文本然后粘贴到 RDP 会话中。
目标
完成本实验后,您应能够:
- 在 Windows 服务器上安装并配置 AD FS。
- 使用现有的 Active Directory 服务器激活对 AWS 管理控制台的联合访问。
- 在 IAM 中创建新角色并将这些角色映射到您的联合用户。
- 允许联合用户访问 AWS 管理控制台。
技术性知识先决条件
要想成功完成本实验,您应该熟悉基本的 Windows Server 管理,还应该熟练掌握常用的联合身份和身份提供者的技术,特别是 SAML、轻型目录访问协议 (LDAP)、Active Directory 和 AWS IAM。
时长
完成本实验大约需要 60 分钟。
注意:在您选择 Start Lab(开始实验)后,部署环境大约需要 10 分钟。
图标说明
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 命令:您必须运行的命令。
- 预期输出:您可以用来验证命令或已编辑文件输出的示例输出。
- 注意:一项提示、技巧或重要指导。
- 任务完成:本实验的总结或结论要点。
