Konfigurieren Sie den Verbundzugriff auf Amazon Athena für Microsoft AD FS-Benutzer mithilfe eines Clients ODBC

Um den Verbundzugriff auf Amazon Athena für Benutzer von Microsoft Active Directory Federation Services (AD FS) mithilfe eines ODBC Clients einzurichten, richten Sie zunächst eine Vertrauensstellung zwischen AD FS und Ihrem AWS Konto ein. Wenn dieses Vertrauen besteht, können sich Ihre AD-Benutzer zusammenschließen, um ihre AD-Anmeldeinformationen zu AWS verwenden und die Berechtigungen einer AWS Identity and Access Management(IAM) -Rolle für den Zugriff auf AWS Ressourcen wie API Athena zu übernehmen.

Um dieses Vertrauen zu schaffen, fügen Sie AD FS als SAML Anbieter zu Ihrem hinzu AWS-Konto und erstellen eine IAM Rolle, die Verbundbenutzer übernehmen können. Auf der AD FS-Seite fügen Sie AWS als vertrauende Partei hinzu und schreiben SAML Anspruchsregeln, an die die richtigen Benutzerattribute AWS zur Autorisierung gesendet werden sollen (insbesondere Athena und Amazon S3).

Die Konfiguration des AD-FS-Zugriffs auf Athena umfasst die folgenden Hauptschritte:

1. Einen IAM SAML Anbieter und eine Rolle einrichten

2. Konfigurieren von AD FS

3. Erstellen von Active-Directory-Benutzern und -Gruppen

4. Konfiguration der AD ODBC FS-Verbindung zu Athena

1. Einen IAM SAML Anbieter und eine Rolle einrichten

In diesem Abschnitt fügen Sie AD FS als SAML Anbieter zu Ihrem AWS Konto hinzu und erstellen eine IAM Rolle, die Ihre Verbundbenutzer übernehmen können.

Um einen SAML Anbieter einzurichten

1. Melden Sie sich bei an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Identitätsanbieter.

3. Wählen Sie Add provider (Anbieter hinzufügen) aus.

4. Wählen Sie als Anbietertyp die Option SAML.

   

5. Geben Sie für Anbietername adfs-saml-provider ein.

6. Geben Sie in einem Browser die folgende Adresse ein, um die XML Verbunddatei für Ihren AD FS-Server herunterzuladen. Um diesen Schritt auszuführen, muss Ihr Browser über Zugriff auf den AD-FS-Server verfügen.

   https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml       

7. Wählen Sie in der IAM Konsole für Metadatendokument die Option Datei auswählen aus, und laden Sie dann die Verbund-Metadatendatei in hoch AWS.

8. Wählen Sie abschließend Add provider (Anbieter hinzufügen).

Als Nächstes erstellen Sie die IAM Rolle, die Ihre Verbundbenutzer übernehmen können.

Um eine IAM Rolle für Verbundbenutzer zu erstellen

1. Wählen Sie im Navigationsbereich der IAM Konsole die Option Rollen aus.

2. Wählen Sie Rolle erstellen.

3. Wählen Sie für Vertrauenswürdigen Entitätstyp die Option SAML2.0 Federation aus.

4. Wählen Sie für einen SAML2.0-basierten Anbieter den adfs-saml-providerAnbieter aus, den Sie erstellt haben.

5. Wählen Sie Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen und klicken Sie dann auf Weiter.

   

6. Filtern Sie auf der Seite Berechtigungen hinzufügen nach den IAM Berechtigungsrichtlinien, die Sie für diese Rolle benötigen, und aktivieren Sie dann die entsprechenden Kontrollkästchen. In diesem Tutorial werden die AmazonAthenaFullAccess- und AmazonS3FullAccess-Richtlinien angefügt.

   
   

7. Wählen Sie Weiter.

8. Geben Sie auf der Seite Name, review, and create (Benennen, überprüfen und erstellen) für Role name (Rollenname) einen Namen für die Rolle ein. In diesem Tutorial wird der Name verwendet adfs-data-access.

   In Step 1: Select trusted entities (In Schritt 1: Vertrauenswürdige Entitäten auswählen) sollte das Feld Principal (Prinzipal) automatisch mit "Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider" ausgefüllt werden. Das Condition-Feld sollte "SAML:aud" und "https://signin.aws.amazon.com/saml" enthalten.

   

   Step 2: Add permissions (Schritt 2: Berechtigungen hinzufügen) zeigt die Richtlinien an, die Sie der Rolle angefügt haben.

   

9. Wählen Sie Rolle erstellen. Eine Banner-Meldung bestätigt die Erstellung der Rolle.

10. Wählen Sie auf der Seite Roles (Rollen) den Namen der von Ihnen soeben erstellten Rolle aus. Auf der Übersichtsseite für die Rolle werden die angefügten Richtlinien angezeigt.

    

2. Konfigurieren von AD FS

Jetzt können Sie eine vertrauende Partei hinzufügen AWS und SAML Anspruchsregeln schreiben, sodass Sie die richtigen Benutzerattribute AWS zur Autorisierung an diese senden können.

SAMLEin basierter Verbund hat zwei Teilnehmerparteien: den IdP (Active Directory) und die vertrauende Partei (AWS), d. h. den Dienst oder die Anwendung, die die Authentifizierung durch den IdP verwendet.

Um AD FS zu konfigurieren, fügen Sie zunächst eine Vertrauensstellung der vertrauenden Partei hinzu und konfigurieren dann die SAML Anspruchsregeln für die vertrauende Partei. AD FS verwendet Anspruchsregeln, um eine SAML Behauptung zu erstellen, die an eine vertrauende Partei gesendet wird. Die SAML Behauptung besagt, dass die Informationen über den AD-Benutzer wahr sind und dass der Benutzer authentifiziert wurde.

Hinzufügen einer Vertrauensstellung der vertrauenden Partei

Um eine Vertrauensstellung der vertrauenden Partei in AD FS hinzuzufügen, verwenden Sie den AD-FS-Server-Manager.

So fügen Sie eine Vertrauensstellung der vertrauenden Partei in AD FS hinzu

1. Melden Sie sich beim AD-FS-Server an.

2. Öffnen Sie im Start-Menü den Server Manager (Server-Manager).

3. Wählen Sie Tools und anschließend AD FS Management (AD-FS-Verwaltung) aus.

   

4. Wählen Sie im Navigationsbereich unter Trust Relationships (Vertrauensstellungen) die Option Relying Party Trusts (Vertrauensstellungen der vertrauenden Partei) aus.

5. Wählen Sie unter Aktionen die Option Add Relying Party Trust (Vertrauen für die vertrauende Partei hinzufügen) aus.

   

6. Wählen Sie auf der Seite Add Relying Party Trust Wizard (Assistent zum Hinzufügen vertrauender Parteien) die Option Start.

   

7. Wählen Sie auf dem Bildschirm Select Data Source (Datenquelle auswählen) die Option Import data about the relying party published online or on a local network (Daten über die vertrauende Partei importieren, die online oder in einem lokalen Netzwerk veröffentlicht wurden) aus.

8. Geben Sie für Federation-Metadatenadresse (Hostname oderURL) den URL https://signin.aws.amazon.com/static/saml-metadata.xml

9. Wählen Sie Weiter.

   

10. Geben Sie auf der Seite Specify Display Name (Anzeigenamen angeben) für Display name (Anzeigename) einen Anzeigenamen für Ihre vertrauende Partei ein, und wählen Sie dann Next (Weiter) aus.

    

11. Auf der Seite Configure Multi-factor Authentication Now (Mehrstufige Authentifizierung jetzt konfigurieren) wählt dieses Tutorial I do not want to configure multi-factor authentication for this relying party trust at this time (Ich möchte die mehrstufige Authentifizierung für diese Vertrauensstellung der vertrauenden Partei zu diesem Zeitpunkt nicht konfigurieren) aus.

    Um die Sicherheit zu erhöhen, empfehlen wir, die Multi-Faktor-Authentifizierung zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Da es nur einen Beispieldatensatz verwendet, aktiviert dieses Tutorial keine Multi-Faktor-Authentifizierung.

    

12. Wählen Sie Weiter.

13. Wählen Sie auf der Seite Choose Issuance Authorization Rules (Ausgabeberechtigungsregeln auswählen) die Option Permit all users to access this relying party (Allen Benutzern den Zugriff auf diese vertrauende Partei gewähren) aus.

    Mit dieser Option können alle Benutzer in Active Directory AD FS mit AWS als vertrauende Partei verwenden. Sie sollten Ihre Sicherheitsanforderungen berücksichtigen und diese Konfiguration entsprechend anpassen.

    

14. Wählen Sie Weiter.

15. Wählen Sie auf der Seite Ready to Add Trust (Bereit zum Hinzufügen der Vertrauensstellung) Next (Weiter) aus, um die Vertrauensstellung der vertrauenden Partei zur AD-FS-Konfigurationsdatenbank hinzuzufügen.

    

16. Wählen Sie auf der Seite Finish (Fertigstellen) die Option Close (Schließen) aus.

    

Konfiguration von SAML Anspruchsregeln für die vertrauende Partei

In dieser Aufgabe erstellen Sie zwei Sätze von Antragsregeln.

Der erste Satz, die Regeln 1—4, enthält AD FS-Anspruchsregeln, die erforderlich sind, um eine IAM Rolle auf der Grundlage der AD-Gruppenmitgliedschaft anzunehmen. Dies sind die gleichen Regeln, die Sie erstellen, wenn Sie Verbundzugriff auf AWS Management Console einrichten möchten.

Beim zweiten Satz, den Regeln 5-6, handelt es sich um Beanspruchungsregeln, die für die Athena-Zugriffskontrolle erforderlich sind.

So erstellen Sie AD-FS-Antragsregeln

1. Wählen Sie im Navigationsbereich der AD-FS-Verwaltungskonsole Trust Relationships (Vertrauensbeziehungen), Relying Party Trusts (Vertrauensstellungen der vertrauenden Partei) aus.

2. Suchen Sie die vertrauende Partei, die Sie im vorherigen Abschnitt erstellt haben.

3. Klicken Sie mit der rechten Maustaste auf die vertrauende Partei und wählen Sie Edit Claim Rules (Antragsregeln bearbeiten) oder wählen Sie die Option Edit Claim Rules (Antragsregeln bearbeiten) im Menü Actions (Aktionen) aus.

   

4. Klicken Sie auf Add Rule (Regel hinzufügen).

5. Geben Sie auf der Seite Configure Rule (Regel konfigurieren) des Assistenten zum Hinzufügen von Transformations-Antragsregeln die folgenden Informationen ein, um Antragsregeln 1 zu erstellen, und wählen Sie anschließend Finish (Fertig stellen) aus.

   • Geben Sie unter Claim rule name (Name der Antragsregel) NameID ein.

   • Verwenden Sie für Rule template (Regelvorlage) die Option Transform an Incoming Claim (Einen eingehenden Antrag transformieren).

   • Wählen Sie unter Incoming claim type (Typ des eingehenden Antrags) die Option Windows Account Name (Windows-Kontoname).

   • Wählen Sie unter Outgoing claim type (Typ des ausgehenden Antrags) die Option Name ID (Namens-ID) aus.

   • Wählen Sie unter Outgoing name ID format (Format der ausgehenden Namens-ID) die Option Persistent identifier (Persistente ID).

   • Wählen Sie Pass through all claim values (Alle Antragswerte weiterleiten) aus.

   

6. Wählen Sie Add Rule (Regel hinzufügen) aus und geben Sie dann die folgenden Informationen ein, um Antragsregel 2 zu erstellen. Wählen Sie anschließend Finish (Fertig stellen) aus.

   • Geben Sie unter Claim rule name (Name der Antragsregel) RoleSessionName ein.

   • Verwenden Sie für die Regelvorlage LDAP „Attribut als Ansprüche senden“.

   • Wählen Sie unter Attribute store (Attributspeicher) Active Directory.

   • Fügen Sie für die Zuordnung von LDAP Attributen zu ausgehenden Anspruchstypen das Attribut hinzuE-Mail-Addresses. Geben Sie für Outgoing Claim Type (Art des ausgehenden Antrags) https://aws.amazon.com/SAML/Attributes/RoleSessionName ein.

   

7. Wählen Sie Add Rule (Regel hinzufügen) aus und geben Sie dann die folgenden Informationen ein, um Antragsregel 3 zu erstellen. Wählen Sie dann Finish (Fertig stellen) aus.

   • Geben Sie unter Claim rule name (Name der Antragsregel) Get AD Groups ein.

   • Verwenden Sie für die Regelvorlage die Option Send Claims Using a Custom Rule (Anträge mit einer benutzerdefinierten Regel senden).

   • Geben Sie unter Custom rule (Benutzerdefinierte Regel) den folgenden Code ein:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
      Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),  
      query = ";tokenGroups;{0}", param = c.Value);
     

     

8. Klicken Sie auf Add Rule (Regel hinzufügen). Geben Sie die folgenden Informationen ein, um Antragsregel 4 zu erstellen und wählen Sie anschließend Finish (Fertig stellen) aus.

   • Geben Sie unter Claim rule name (Name der Antragsregel) Role ein.

   • Verwenden Sie für die Regelvorlage die Option Send Claims Using a Custom Rule (Anträge mit einer benutzerdefinierten Regel senden).

   • Geben Sie für Benutzerdefinierte Regel den folgenden Code mit Ihrer Kontonummer und dem Namen des SAML Anbieters ein, den Sie zuvor erstellt haben:

     c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",  
     Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));

   

3. Erstellen von Active-Directory-Benutzern und -Gruppen

Jetzt können Sie AD-Benutzer erstellen, die auf Athena zugreifen, und AD-Gruppen erstellen, in denen sie platziert werden, sodass Sie die Zugriffsebenen nach Gruppen steuern können. Nachdem Sie AD-Gruppen erstellt haben, die Datenzugriffsmuster kategorisieren, fügen Sie Ihre Benutzer zu diesen Gruppen hinzu.

So erstellen Sie AD-Benutzer für den Zugriff auf Athena

1. Wählen Sie im Dashboard des Server-Managers Tools und dann Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) aus.

   

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Wählen Sie in der Symbolleiste Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) die Option Create user (Benutzer erstellen) aus.

   

4. Geben Sie im Dialogfeld New Object – User (Neues Objekt – Benutzer)unter First name (Vorname), Last name (Nachname) und Full name (Vollständiger Name) einen Namen ein. In diesem Tutorial wird ein Jane Doe verwendet.

   

5. Wählen Sie Weiter.

6. Geben Sie unter Password (Passwort) ein Passwort ein; geben Sie es zur Bestätigung erneut ein.

   Der Einfachheit halber wird in diesem Tutorial die Option User must change password at next sign on (Benutzer muss das Passwort bei der nächsten Anmeldung ändern) deaktiviert. In realen Szenarien sollten Sie von neu erstellten Benutzern verlangen, dass sie ihr Passwort ändern.

   

7. Wählen Sie Weiter.

8. Wählen Sie Finish (Abschließen).

   

9. Wählen Sie unter Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) den Benutzernamen aus.

10. Geben Sie im Dialogfeld Properties (Eigenschaften) des Benutzers unter E-Mail eine E-Mail-Adresse ein. In diesem Tutorial wird ein jane@example.com verwendet.

    

11. Wählen Sie OK aus.

Erstellen von AD-Gruppen zur Darstellung von Datenzugriffsmustern

Sie können AD-Gruppen erstellen, deren Mitglieder die adfs-data-access IAM Rolle übernehmen, wenn sie sich anmelden AWS. Im folgenden Beispiel wird eine AD-Gruppe namens erstellt aws-adfs-data-access.

So erstellen Sie eine AD-Gruppe

1. Wählen Sie im Server-Manager-Dashboard im Menü Tools die Option Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) aus.

2. Wählen Sie in der Symbolleiste die Option Create new group (Neue Gruppe erstellen) aus.

   

3. Geben Sie in das Dialogfeld New Object – Group (Neues Objekt – Gruppe) die folgenden Informationen ein:

   • Geben Sie für Group name (Gruppenname) aws-adfs-data-access ein.

   • Wählen Sie als Group scope (Gruppenbereich) die Option Global aus.

   • Wählen Sie als Group type (Gruppentyp) die Option Security (Sicherheit) aus.

   

4. Wählen Sie OK aus.

AD-Benutzer zu entsprechenden Gruppen hinzufügen

Nachdem Sie nun sowohl einen AD-Benutzer als auch eine AD-Gruppe erstellt haben, können Sie den Benutzer der Gruppe hinzufügen.

So fügen Sie einen AD-Benutzer zu einer AD-Gruppe hinzu

1. Wählen Sie im Server-Manager-Dashboard im Menü Tools die Option Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) aus.

2. Wählen Sie für First name (Vorname) und Last name (Nachname) einen Benutzer aus (z. B. Jane Doe (Erika Mustermann)).

3. Wählen Sie im Dialogfeld Properties (Eigenschaften) des Benutzers auf der Registerkarte Member Of (Mitglied von) die Option Add (Hinzufügen) aus.

   

4. Fügen Sie je nach Bedarf eine oder mehrere AD-FS-Gruppen hinzu. In diesem Tutorial wird die aws-adfs-data-accessGruppe hinzugefügt.

5. Geben Sie im Dialogfeld Select Groups (Gruppen auswählen) unter Enter the object names to select (Zu verwendende Objektnamen eingeben) den Namen der AD-FS-Gruppe ein, die Sie erstellt haben (z. B. aws-adfs-data-access), und wählen Sie anschließend Check Names (Namen überprüfen) aus.

   

6. Wählen Sie OK aus.

   Im Dialogfeld Properties (Eigenschaften) für den Benutzer wird der Name der AD-Gruppe in der Liste Member of (Mitglied von) angezeigt.

   

7. Wählen Sie Apply (Anwenden) und anschließend OK aus.

4. Konfiguration der AD ODBC FS-Verbindung zu Athena

Nachdem Sie Ihre AD-Benutzer und -Gruppen erstellt haben, können Sie das ODBC Data Sources-Programm in Windows verwenden, um Ihre ODBC Athena-Verbindung für AD FS zu konfigurieren.

Um die AD ODBC FS-Verbindung zu Athena zu konfigurieren

1. Installieren Sie den ODBC Treiber für Athena. Die Downloadlinks finden Sie unter Connect zu Amazon Athena her mit ODBC.

2. Wählen Sie in Windows Start, ODBCDatenquellen.

3. Wählen Sie im Programm ODBCData Source Administrator die Option Hinzufügen aus.

   

4. Wählen Sie im Dialogfeld „Neue Datenquelle erstellen“ die Option Simba Athena ODBC Driver und dann „Fertig stellen“.

   

5. Geben Sie im Dialogfeld Simba Athena ODBC Driver DSN Setup die folgenden Werte ein:

   • Geben Sie in Data Source Name (Datenquellenname) einen Namen für Ihre Datenquelle ein (z. B. Athena-odbc-test).

   • Geben Sie in das Feld Bezeichnung (Description) eine Beschreibung für Ihre Datenquelle ein.

   • Geben Sie für das ein AWS-Region AWS-Region , das Sie verwenden (z. B. us-west-1).

   • Geben Sie für S3-Ausgabespeicherort den Amazon-S3-Pfad ein, in dem Ihre Ausgabe gespeichert werden soll.

   

6. Wählen Sie Authentifizierungsoptionen aus.

7. Geben Sie im Dialogfeld Authentication Options (Authentifizierungsoptionen) die folgenden Werte an:

   • Wählen Sie als Authentifizierungstyp. ADFS

   • Geben Sie unter User (Benutzer) die E-Mail-Adresse des Benutzers ein (z. B. jane@example.com).

   • Geben Sie unter Passwort das ADFS Passwort des Benutzers ein.

   • Geben Sie für IdP Host (IdP-Host) den AD-FS-Servernamen ein (z. B. adfs.example.com).

   • Verwenden Sie für IdP Port (IdP-Anschluss) den Standardwert 443 aus.

   • Wählen Sie die Option SSLUnsicher aus.

   

8. Wählen Sie OK, um die Authentication Options (Authentifizierungsoptionen) zu schließen.

9. Wählen Sie Test, um die Verbindung zu testen, oder OK, um den Vorgang abzuschließen.