4

我们希望对使用Windows Server 2016 - ADFS活动目录联合服务)和AWS Directory Service的许多小型内部 Web 应用程序使用WebSSO(使用一组凭据进行单点登录) 。我们在 AWS 账户中使用目录服务创建了一个域。在成功加入AWS Directory Service 的域后,我尝试在 Windows Server 2016 EC2 实例上使用服务器管理器工具安装和配置 ADFS 。ADFS 配置向导中的屏幕之一要求输入域管理员密码. AWS Directory Service 创建的管理员用户似乎不是域管理员。所以我无法在 Windows EC2 实例上配置 ADFS。

https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/

我想知道是否可以在 AWS Directory Service 中创建域管理员,其次是否可以使用 SAML 使用 AWS Directory Service 实施 ADFS

从下面的 AWS 链接中,我认为默认的“admin”用户与域管理员不同。

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html

对于 ADFS 与用于 Web 应用程序的 AWS Directory Service 集成的任何意见,我们将不胜感激。

注意:我在网上找到了使用 Windows Active Directory 而非 AWS Directory Service 安装/配置 Windows ADFS 的链接。我找到了以下链接,用于将 ADFS 与 IAM 用户的 Active Directory 集成,但对我们帮助不大。

https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/

我们有兴趣将我们的 Web 应用程序与 ADFS/AWS Directory Service for WebSSO 集成。

4

1 回答 1

7

我得到了答案。出于安全原因,AWS Directory Service 不提供域管理员帐户。可以针对 AWS Directory Service 配置 Windows ADFS Server 2016。我们应该使用 Powershell 命令而不是向导来配置 ADFS 服务器,因为向导要求提供域管理员帐户。

这些是步骤:

  • GUID 和证书 ThumbprintID 参数将替换为随附代码中的值
  • 建议使用默认 AWS 托管 Microsoft AD 管理员帐户“NetBIOSname\Admin”来运行以下所有 PowerShell 命令
  • 您可以创建域用户作为 ADFS 服务帐户并将其用于 $svcCred 凭据变量
  • 您可以将 AWS 托管的 Microsoft AD 管理员用户用于 $localAdminCred 凭证变量

下面的代码将在 Powershell 窗口中运行(以管理员身份运行):

假设活动目录域 = corp.example.com

(New-Guid).Guid

New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"

New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"

$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}

$svcCred = (get-credential)

$localAdminCred = (get-credential)

Install-WindowsFeature ADFS-Federation

Install-ADFSFarm -CertificateThumbprint ‎<Thumbprint ID> -FederationServiceName
     "YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
     $localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig 
     -SigningCertificateThumbprint ‎<Thumbprint ID> 
     -DecryptionCertificateThumbprint ‎<Thumbprint ID>

Set-ADFSProperties -EnableIdpInitiatedSignonPage $true

以下 url 对于使用 AWS Directory Service 设置 Windows ADFS Server 也很有用:

https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/

于 2019-02-07T11:35:12.550 回答