+135 410 16684Mon. - Fri. 10:00-22:00

教程:Azure Active Directory 与 Amazon Web Services (AWS) 集成

教程:Azure Active Directory 与 Amazon Web Services (AWS) 集成

教程:Azure Active Directory 与 Amazon Web Services (AWS) 集成

将 Amazon Web Services (AWS) 与 Azure AD 集成提供以下优势:

  • 可以在 Azure AD 中控制谁有权访问 Amazon Web Services (AWS)
  • 可以让用户使用其 Azure AD 帐户自动登录到 Amazon Web Services (AWS)(单一登录)
  • 可以在一个中心位置(即 Azure 门户)中管理帐户

如果要了解有关 SaaS 应用与 Azure AD 集成的更多详细信息,请参阅 Azure Active Directory 的应用程序访问与单一登录是什么

先决条件

若要配置 Azure AD 与 Amazon Web Services (AWS) 的集成,需要具有以下项:

  • 一个 Azure AD 订阅
  • 启用了 Amazon Web Services (AWS) 单一登录的订阅

备注

不建议使用生产环境测试本教程中的步骤。

测试本教程中的步骤应遵循以下建议:

  • 不应使用生产环境,除非有此必要。
  • 如果没有 Azure AD 试用环境,可以在此处获取一个月的试用版。

方案描述

在本教程中,将在测试环境中测试 Azure AD 单一登录。 本教程中概述的方案包括两个主要构建基块:

  1. 从库中添加 Amazon Web Services (AWS)
  2. 配置和测试 Azure AD 单一登录

要配置 Amazon Web Services (AWS) 与 Azure AD 的集成,需要从库将 Amazon Web Services (AWS) 添加到托管 SaaS 应用列表。

若要从库中添加 Amazon Web Services (AWS),请执行以下步骤:

  1. 在 Azure 门户的左侧导航面板中,单击“Azure Active Directory”图标。

  2. 导航到“企业应用程序”。 然后转到“所有应用程序”。

    tutorial_general_02

  3. 单击对话框顶部的“添加”按钮。

    tutorial_general_03

  4. 在搜索框中,键入 Amazon Web Services (AWS)

    tutorial_amazonwebservices_search

  5. 在结果窗格中,选择“Amazon Web Services (AWS)”,并单击“添加”以添加该应用程序。

    tutorial_amazonwebservices_addfromgallery

配置和测试 Azure AD 单一登录

在本部分中,将基于名为“Britta Simon”的测试用户配置并测试 Amazon Web Services (AWS) 的 Azure AD 单一登录。

若要运行单一登录,Azure AD 需要知道与 Azure AD 用户相对应的 Amazon Web Services (AWS) 用户。 换句话说,需在 Azure AD 用户与 Amazon Web Services (AWS) 中的相关用户间建立链接关系。

可以通过将 Azure AD 中的“用户名”值分配为 Amazon Web Services (AWS) 中“用户名”的值来建立此链接关系。

若要配置并测试 Amazon Web Services (AWS) 的 Azure AD 单一登录,需要完成以下构建基块:

  1. 配置 Azure AD 单一登录 – 让用户使用此功能。
  2. 创建 Azure AD 测试用户 – 使用 Britta Simon 测试 Azure AD 单一登录。
  3. 创建 Amazon Web Services 测试用户 – 在 Amazon Web Services (AWS) 中创建 Britta Simon 的对应用户,并将其链接到该用户的 Azure AD 表示形式。
  4. 分配 Azure AD 测试用户 – 让 Britta Simon 使用 Azure AD 单一登录。
  5. 测试单一登录 – 验证配置是否正常工作。

配置 Azure AD 单一登录

在本部分中,会在 Azure 门户中启用 Azure AD 单一登录并在 Amazon Web Services (AWS) 应用程序中配置单一登录。

若要配置 Amazon Web Services (AWS) 的 Azure AD 单一登录,请执行以下步骤:

  1. 在 Azure 门户中,在 Amazon Web Services (AWS) 应用程序集成页上,单击“单一登录”。

    tutorial_general_04

  2. 在“单一登录”对话框中,选择“基于 SAML 的登录”作为“模式”以启用单一登录。

    tutorial_amazonwebservices_samlbase

  3. 在“Amazon Web Services (AWS) 域和 URL”部分中,用户不必执行任何步骤,因为该应用已经与 Azure 预先集成。

    tutorial_amazonwebservices_url

  4. 在“SAML 签名证书”部分中,单击“元数据 XML”,并在计算机上保存 XML 文件。

    tutorial_amazonwebservices_certificate

  5. Amazon Web Services (AWS) Software 应用程序需要采用特定格式的 SAML 断言。 请为此应用程序配置以下声明。 可以在应用程序集成页的“用户属性”部分管理这些属性的值。 以下屏幕截图显示一个示例。

    tutorial_amazonwebservices_attribute

  6. 在“单一登录”对话框的“用户属性”部分中,按上图所示配置 SAML 令牌属性,并执行以下步骤:
    属性名称 属性值 命名空间
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    角色 user.assignedroles https://aws.amazon.com/SAML/Attributes

    提示

    需要在 Azure AD 中配置用户预配以从 AWS 控制台中提取所有角色。 请参阅下文中的预配步骤。

    a. 单击“添加属性”,打开“添加属性”对话框。

    b.保留“数据库类型”设置,即设置为“共享”。 在“名称”文本框中,键入为该行显示的属性名称。

    tutorial_attribute_05

    c. 在“值”列表中,选择为该行显示的属性值。 根据上文中的指定添加 Namespace 值。

    d. 单击“确定” 。

  7. 单击“保存”按钮在 Azure 中保存设置。

    tutorial_general_400

  8. 在其他浏览器窗口中,以管理员身份登录 Amazon Web Services (AWS) 公司站点。
  9. 单击“控制台主页”。

    ic795031

  10. 安全性、标识和合规性服务中单击“IAM”。

    ic795032

  11. 单击“标识提供者”,并单击“创建提供者”。

    ic795033

  12. 在“配置提供者”对话框页上,执行以下步骤:

    ic795034

    a. 对于“提供者类型”,请选择“SAML”。

    b. 在“提供者名称”文本框中,键入提供者名称(例如:WAAD)。

    c. 若要上传下载的元数据文件,请单击“选择文件”。

    d. 单击“下一步”。

  13. 在“验证提供者信息”对话框页上,单击“创建”。

    ic795035

  14. 单击“角色”,并单击“创建新角色”。

    ic795022

  15. 在“设置角色名称”对话框中,执行以下步骤:

    ic795023

    a. 在“角色名称”文本框中,键入角色名称(例如:TestUser)。

    b. 单击“下一步”。

  16. 在“选择角色类型”对话框中,执行以下步骤:

    ic795024

    a. 选择“标识提供者角色的访问权限”。

    b. 授予 SAML 提供程序的 Web 单一访问 (WebSSO) 访问权限部分中,单击“选择”。

  17. 在“建立信任”对话框中,执行以下步骤:

    ic795025

    a. 对于 SAML 提供者,选择之前创建的 SAML 提供者(例如:WAAD

    b. 单击“下一步”。

  18. 在“验证角色信任”对话框中,单击“下一步”。

    ic7950251

  19. 在“附加策略”对话框中,单击“下一步”。

    ic7950252

  20. 在“审阅”对话框中,执行以下步骤:

    ic7950253

    a. 单击“创建角色”。

    b. 创建所需数量的角色,并将其映射到标识提供者。

  21. 现在,配置用户预配以从 AWS 中提取所有角色

    a. 在 AWS 控制台中,使用根帐户进行登录

    b. 在右上角,单击你的姓名,并单击“我的安全凭据”选项。 这会打开一个屏幕,其中显示了警告消息。 单击“安全凭据”按钮以通过该屏幕。

    tutorial_amazonwebservices_securitycredentials

    tutorial_amazonwebservices_securitycredentials_continue

    c. 在“访问密钥”部分中,单击“新建访问密钥”按钮。 这会生成访问密钥 ID 和令牌值。

    tutorial_amazonwebservices_createnewaccesskey

    d. 复制这些值并下载它们,以免丢失它们。

    e. 在 Azure 门户中,在 Amazon Web Services (AWS) 应用程序集成页上,单击“预配”。

    tutorial_amazonwebservices_provisioning

    f. 将预配模式设置为“自动”

    tutorial_amazonwebservices_provisioning_automatic

    g. 现在,在“clientsecret”和“密钥标记”中,粘贴已从 AWS 控制台复制的相应值。

    h. 可以单击“测试连接”按钮来测试连接。 在成功后,可以启动预配连接器。

    tutorial_amazonwebservices_provisioning_testconnection

    i. 现在,将预配状态启用为“开启”。 这会开始从应用程序提取角色。

    tutorial_amazonwebservices_provisioning_on

    备注

    Azure AD 预配服务每隔一段时间会运行一次来从 AWS 同步角色。 应当会看到所有标识提供者都已将 AWS 角色附加到 Azure AD 中,并且在将应用程序分配给用户或组时可以使用这些角色。

创建 Azure AD 测试用户

本部分的目的是在 Azure 门户中创建名为 Britta Simon 的测试用户。

tutorial_general_100

若要在 Azure AD 中创建测试用户,请执行以下步骤:

  1. 在 Azure 门户的左侧导航窗格中,单击“Azure Active Directory”图标。

  2. 转到“用户和组”,单击“所有用户”显示用户列表。

    create_aaduser_02

  3. 在对话框顶部单击“添加”,打开“用户”对话框。

    create_aaduser_03

  4. 在“用户”对话框页上,执行以下步骤:

    create_aaduser_04

    a. 在“名称”文本框中,键入 BrittaSimon

    b.保留“数据库类型”设置,即设置为“共享”。 在“用户名”文本框中,键入 BrittaSimon 的“电子邮件地址”。

    c. 选择“显示密码”并记下“密码”的值。

    d.单击“下一步”。 单击“创建” 。

创建 Amazon Web Services 测试用户

为了使 Azure AD 用户能够登录到 Amazon Web Services (AWS),必须将其预配到 Amazon Web Services (AWS) 中。 对于 Amazon Web Services (AWS),预配任务需要手动完成。

若要预配用户帐户,请执行以下步骤:

  1. 以管理员身份登录 Amazon Web Services (AWS) 公司站点。
  2. 单击“控制台主页”图标。

    ic7950311

  3. 单击“标识和访问管理”。

    ic7950321

  4. 在仪表板中,单击“用户”,并单击“创建新用户”。

    ic795037

  5. 在“创建用户”对话框页上,执行以下步骤:

    ic795038

    a. 在“输入用户名称”文本框中,键入 Brita Simon 在 Azure AD 中的用户名 (userprincipalname)。

    b. 单击“创建”。

分配 Azure AD 测试用户

在本部分中,将通过向 Britta Simon 授予对 Amazon Web Services (AWS) 的访问权限使她能够使用 Azure 单一登录。

tutorial_general_200

要将 Britta Simon 分配到 Amazon Web Services (AWS),请执行以下步骤:

  1. 在 Azure 门户中打开应用程序视图,导航到目录视图,接着转到“企业应用程序”,并单击“所有应用程序”。

    tutorial_general_201

  2. 在应用程序列表中,选择“Amazon Web Services (AWS)”。

    tutorial_amazonwebservices_app

  3. 在左侧菜单中,单击“用户和组”。

    tutorial_general_202

  4. 单击“添加”按钮。 然后在“添加分配”对话框中选择“用户和组”。

    tutorial_general_203

  5. 在“用户和组”对话框的“用户”列表中,选择“Britta Simon”。
  6. 在“用户和组”对话框中单击“选择”按钮。
  7. 在“选择角色”选项卡上,为用户选择合适的角色。 所有这些角色都显示有角色名称和标识提供者名称。 因此,可以轻松识别来自 AWS 的角色。
  8. 在“添加分配”对话框中单击“分配”按钮。

测试单一登录

在本部分中,使用访问面板测试 Azure AD 单一登录配置。

在访问面板中单击“Amazon Web Services (AWS)”磁贴时,应该会自动登录 Amazon Web Services (AWS) 应用程序。

其他资源

Leave a Reply