Wie richte ich AD FS auf einer EC2-Windows-Instance ein, um mit einem Verbund für einen Cognito-Benutzerpool zu arbeiten?

Lösung

Verwende den Server-Manager, um einen AD FS-Server und einen Domänencontroller auf einer EC2-Windows-Instance einzurichten. Um die Einrichtung abzuschließen, benötigst du einen Cognito-Benutzerpool mit einem App-Client und einem Domain-Namen, den du besitzt. Wenn du keine Domain besitzt, kannst du eine neue Domain bei Amazon Route 53 oder einem anderen DNS-Dienst registrieren.

Weitere Informationen findest du unter Wie richte ich AD FS als SAML-Identitätsanbieter mit einem Amazon Cognito-Benutzerpool ein?

Windows-Instance konfigurieren und starten

Führe die folgenden Schritte aus:

1. Öffne die EC2-Konsole.
2. Wähle Instance starten aus.
3. Wähle auf der Seite Amazon Machine Image (AMI) auswählen ein AMI für Windows Server aus, beispielsweise das Microsoft Windows Server 2025 Base AMI.
4. Wähle deinen Instance-Typ aus.
5. Wähle für Schlüsselpaare ein vorhandenes Schlüsselpaar aus der Dropdown-Liste aus oder erstelle ein neues Schlüsselpaar.
   Wichtig: Speichere die PEM-Datei für den privaten Schlüssel deines Schlüsselpaars, um eine Verbindung zu deiner Windows-Instance herzustellen.
6. Wähle im Navigationsbereich Sicherheitsgruppe erstellen und dann RDP-Traffic zulassen aus.
   Hinweis: Um den RDP-Zugriff (Remote Desktop Protocol) auf deine Instance auf bestimmte IP-Adressen zu beschränken, ändere die Quell-IP-Adresse von Anywhere zu My IP oder Custom.
7. Wähle Starten aus.

Deiner Windows-Instance eine Elastic IP-Adresse zuordnen

Weise deinem AWS-Konto eine Elastic IP-Adresse zu. Verknüpfe dann deine Elastic IP-Adresse mit deiner Windows-Instance.

Verwende deine Elastic IP-Adresse, um einen Datensatz für deine Domain zu erstellen

Die Domain für Active Directory Domain Services (AD DS) muss einen A-Datensatz (IPv4-Adresse) mit einer Elastic IP-Adresse als Wert haben. Verwende zum Erstellen des Datensatzes die Elastic IP-Adresse, die deiner Windows-Instance zugeordnet ist.

AD DS, IIS und AD FS auf deiner Windows-Instance installieren

Verwende deinen RDP-Client, um eine Verbindung zu deiner Windows-Instance herzustellen.

Öffne in Windows den Server-Manager und verwende dann den Add Roles and Features Wizard, um die folgenden Rollen zu installieren:

• Active Directory Domain Services
• Active Directory Federation Services
• Internet Information Services (IIS)

Weitere Informationen findest du auf der Microsoft-Website unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Funktionen.

AD DS auf deiner EC2-Windows-Instance konfigurieren

Um AD DS zu konfigurieren, verwende den Konfigurationsassistenten für Active Directory Domain Services im Server-Manager. Gib auf der Seite Bereitstellungskonfiguration deine Domain ein, z. B. example.com. Nachdem deine Konfigurationsinstallation abgeschlossen ist, wirst du von Windows darüber informiert, dass du bald abgemeldet wirst. Wenn der Server neu gestartet wird, verwende deinen RDP-Client, um eine Verbindung zu deiner Windows-Instance herzustellen.

Weitere Informationen findest du unter Installieren der Active Directory Domain Services auf der Microsoft-Website.

HTTP-Site-Bindung in IIS konfigurieren

Verwende im Server-Manager IIS, um die HTTP-Site-Bindung für deine Website zu bearbeiten. Weitere Informationen findest du auf der Microsoft-Website unter Hinzufügen verbindlicher Informationen zu einer Website.

Wichtig: Wenn du die HTTP-Bindung in IIS bearbeitest, gib deinen Domain-Namen als Hostnamen ein, z. B. example.com. Ändere nicht die IP-Adresse (All Unassigned) oder den Port (80).

Windows-Instance so konfigurieren, dass Datei-Downloads zugelassen sind

Siehe Wie konfiguriere ich eine EC2-Windows-Instance, um Datei-Downloads über Internet Explorer zuzulassen?

Fordere ein digitales Zertifikat für deine Domain an

Für die HTTPS-Bindung ist ein SSL/TLS-Serverzertifikat erforderlich. Um ein Drittanbieter-Zertifikat für deine Domain anzufordern, verwende ein vertrauenswürdiges Drittanbieter-Tool zur Erstellung von Zertifikaten.

Weitere Informationen findest du auf der Microsoft-Website unter Auswählen eines Zertifikats.

(Optional) Konfiguriere die HTTPS-Site-Bindung in IIS

Wenn das von dir verwendete Tool zur Zertifikatserstellung nicht automatisch eine HTTPS-Website-Bindung in IIS hinzufügt, füge die Site-Bindung manuell hinzu.

Weitere Informationen findest du unter Erstellen einer SSL-Bindung auf der Microsoft-Website.

AD FS auf deiner EC2-Windows-Instance konfigurieren

Verwende den Assistenten zur Konfiguration des AD FS-Verbund-Servers im Server-Manager, um die Windows-Instance als Verbund-Server zu konfigurieren.

Weitere Informationen findest du unter Vorbereiten und Bereitstellen von Active Directory Federation Services – On-Premises-Zertifikatsvertrauen auf der Microsoft-Website.

Wähle auf der Seite Service-Konto angeben unter Benutzer- oder Service-Konto auswählen den Benutzer mit dem Namen Administrator aus. Gib dann das Passwort ein, das du für RDP verwendet hast, um eine Verbindung zur Windows-Instance herzustellen.

Erstelle einen Benutzer in Active Directory

Verwende das Tool „Active Directory Users and Computers“, um einen neuen Benutzer in Active Directory zu erstellen. Füge den neuen Benutzer der Gruppe „Administratoren“ hinzu.

Weitere Informationen findest du auf der Microsoft-Website unter Benutzer erstellen und zu einer Gruppe hinzufügen.

Füge eine E-Mail-Adresse für deinen Active Directory-Benutzer hinzu

Führe die folgenden Schritte aus:

1. Öffne im Tool „Active Directory Users and Computers“ die Option Benutzer (mit einem Doppelklick), um die Benutzerliste anzuzeigen.
2. Suche in der Benutzerliste nach dem Benutzer, den du erstellt hast. Öffne den Benutzer (mit einem Rechtsklick), um das Kontextmenü anzuzeigen, und wähle dann Eigenschaften aus.
3. Gib im Fenster Eigenschaften unter Benutzername eine gültige E-Mail-Adresse für den Benutzer ein. Die E-Mail-Adresse ist in der SAML-Assertion enthalten.

Weitere Informationen findest du auf der Microsoft-Website auf der Seite Allgemeine Eigenschaften.

Füge eine vertrauenswürdige Partei hinzu, die sich auf AD FS verlässt

Navigiere im Server-Manager zu Tools AD FS Management. Um eine anspruchsbasierte Vertrauensstellung für die vertrauende Seite hinzuzufügen, verwende den Add Relying Party Trust Wizard.

Wähle auf der Seite URL konfigurieren des Assistenten die Option Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren aus. Gib für die SAML 2.0-SSO-Dienst-URL für die vertrauende Seite eine Assertion-Consumer-Endpunkt-URL ein, z. B.: https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse. Ersetze yourDomainPrefix durch das Domain-Präfix deines Cognito-Benutzerpools. Ersetze die Region durch die AWS-Region des Benutzerpools.

Gib auf der Seite Identifiers konfigurieren des Assistenten für Vertrauenskennung der vertrauenden Seite die folgende URN ein: urn:amazon:cognito:sp:yourUserPoolID. Ersetze yourUserPoolID durch deine Cognito-Benutzerpool-ID.

Für weitere Informationen siehe Verwenden von SAML-Identitätsanbietern mit einem Benutzerpool und Manuelle Erstellung einer anspruchsbasierten Relying Party Trust auf der Website von Microsoft.

Bearbeite die Richtlinien für die Ausstellung von Anträgen in AD FS

Verwende den Add Relying Party Trust Wizard, um der Vertrauensstellung eine Regel zum Senden von LDAP-Attributen als Ansprüche hinzuzufügen.

Führe auf der Seite Regel konfigurieren die folgenden Schritte aus:

1. Gib als Name der Anspruchsregel E-Mailein.
2. Wählen Sie für den Attributspeicher Active Directory.
3. Wählen Sie für das LDAP-Attribut die Option E-Mail-Adressen.
4. Wähle für die Art des Outgoing Claim Type die Option E-Mail-Adresse.

Weitere Informationen findest du auf der Microsoft-Website unter So erstellst du eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine vertrauenswürdige Partei in Windows Server 2016.

Hinweis: Ordne die eingehende E-Mail-Adresse aus Active Directory dem ausgehenden Name-ID-Anspruch zu. Die Ansprüche „Email ID“ und „Name ID“ erscheinen dann als E-Mail-Adresse des Benutzers in der SAML-Assertion in der SAML-Antwort. Erstelle dann eine Regel, um stattdessen LDAP-Attribute als Ansprüche zu senden.

Weitere Informationen findest du auf der Microsoft-Website unter So erstellst du eine Regel zum Senden von LDAP-Attributen als Claims für Windows Server 2012 R2.

Teste die SAML-IdP-Metadaten-URL für deinen Server

Gib die Metadaten-Dokument-Endpunkt-URL https://example.com/federationmetadata/2007-06/federationmetadata.xml mit deiner Domain in deinen Webbrowser ein.

Wenn du aufgefordert wirst, die Datei federationmetadata.xml herunterzuladen, hast du alles korrekt konfiguriert. Notiere dir die URL, die du verwendet hast, oder lade die XML-Datei herunter. Du musst entweder die URL oder die Datei verwenden, um SAML in der Cognito-Konsole zu konfigurieren.

Weitere Informationen findest du unter Konfiguration deines Drittanbieter-SAML-Identitätsanbieters.

AD FS als SAML-IdP in Cognito konfigurieren

Anweisungen zur Konfiguration von AD FS als SAML-IdP in Cognito findest du in Schritt 4: Schließe die Amazon-Cognito-Konfiguration im Leitfaden Web-App-Authentifizierung vereinfachen: Eine Anleitung zur AD FS-Föderation mit Amazon-Cognito-Benutzerpools ab.

Ähnliche Informationen

Benutzerpool-Anmeldung bei externen Identitätsanbietern

Erste Schritte mit Amazon EC2

Amazon EC2 key pairs and Amazon EC2 instances

Amazon-EC2-Sicherheitsgruppen für die EC2-Instances

Sicherheitsgruppenregeln für verschiedene Anwendungsfälle