Single Sign-On (SAML 2.0-basierte Verbundauthentifizierung) - AWS Client VPN
Authentifizierungs-WorkflowAnforderungen und Überlegungen für die SAML-basierte VerbundauthentifizierungKonfigurationsressourcen für SAML-basierte IdPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Single Sign-On (SAML 2.0-basierte Verbundauthentifizierung)

AWS Client VPN unterstützt den Identitätsverbund mit Security Assertion Markup Language 2.0 (SAML 2.0) für Client-VPN-Endpunkte. Sie können Identitätsanbieter (IdPs) verwenden, die SAML 2.0 unterstützen, um zentralisierte Benutzeridentitäten zu erstellen. Anschließend können Sie einen Client VPN-Endpunkt für die Verwendung der SAML-basierten Verbundauthentifizierung konfigurieren und ihn dem IdP zuordnen. Benutzer stellen dann mithilfe ihrer zentralen Anmeldeinformationen eine Verbindung zum Client VPN-Endpunkt her.

Damit Ihr SAML-basierter IdP mit einem Client VPN-Endpunkt funktioniert, müssen Sie die folgenden Schritte ausführen.

  1. Erstellen Sie eine SAML-basierte App in Ihrem ausgewählten IdP, um sie mit einer vorhandenen App zu verwenden AWS Client VPN, oder verwenden Sie eine vorhandene App.

  2. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS. Ressourcen finden Sie unter Konfigurationsressourcen für SAML-basierte IdPs.

  3. Generieren Sie in Ihrem IdP ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensbeziehung zwischen AWS und dem IdP herzustellen.

  4. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt. Der IAM-SAML-Identitätsanbieter definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des vom IdP generierten Metadatendokuments. Weitere Informationen finden Sie unter Erstellen von IAM SAML-Identitätsanbietern im IAM-Benutzerhandbuch. Wenn Sie die Anwendungskonfiguration im IdP später aktualisieren, generieren Sie ein neues Metadatendokument und aktualisieren Sie Ihren IAM SAML-Identitätsanbieter.

    Anmerkung

    Sie brauchen keine IAM-Rolle zu erstellen, um den IAM SAML-Identitätsanbieter zu verwenden.

  5. Erstellen Sie einen Client VPN-Endpunkt. Legen Sie die Verbundauthentifizierung als Authentifizierungstyp fest und geben Sie den von Ihnen erstellten IAM SAML-Identitätsanbieter an. Weitere Informationen finden Sie unter Erstellen eines Client VPN-Endpunkts.

  6. Exportieren Sie die Client-Konfigurationsdatei und verteilen Sie sie an Ihre Benutzer. Weisen Sie Ihre Benutzer an, die neueste Version des von AWS bereitgestellten Clients herunterzuladen und diese zum Laden der Konfigurationsdatei und Herstellen einer Verbindung mit dem Client VPN-Endpunkt zu verwenden. Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktiviert haben, weisen Sie Ihre Benutzer alternativ an, zum Self-Service-Portal zu gehen, um die Konfigurationsdatei und AWS den bereitgestellten Client abzurufen. Weitere Informationen finden Sie unter Zugriff auf das Self-Service-Portal.

Authentifizierungs-Workflow

Das folgende Diagramm bietet eine Übersicht zum Authentifizierungs-Workflow für einen Client VPN-Endpunkt, der die SAML-basierte Verbundauthentifizierung verwendet. Wenn Sie den Client VPN-Endpunkt erstellen und konfigurieren, geben Sie den IAM SAML-Identitätsanbieter an.

Authentifizierungs-Workflow

  1. Der Benutzer öffnet den AWS bereitgestellten Client auf seinem Gerät und initiiert eine Verbindung zum Client-VPN-Endpunkt.

  2. Der Client VPN-Endpunkt sendet eine IdP-URL und eine Authentifizierungsanforderung an den Client zurück (basierend auf den Informationen, die im IAM SAML-Identitätsanbieter bereitgestellt wurden).

  3. Der AWS bereitgestellte Client öffnet ein neues Browserfenster auf dem Gerät des Benutzers. Der Browser gibt eine Anfrage an den IdP aus und zeigt eine Anmeldeseite an.

  4. Der Benutzer gibt seine Anmeldeinformationen auf der Anmeldeseite ein und der IdP sendet eine signierte SAML-Assertion zurück an den Client.

  5. Der AWS bereitgestellte Client sendet die SAML-Assertion an den Client-VPN-Endpunkt.

  6. Der Client VPN-Endpunkt validiert die Assertion und erlaubt oder verweigert dem Benutzer den Zugriff.

Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung

Im Folgenden sind die Anforderungen und Überlegungen für die SAML-basierte Verbundauthentifizierung aufgeführt.

  • Informationen zu Kontingenten und Regeln für die Konfiguration von Benutzern und Gruppen in einem SAML-basierten IdP finden Sie unter Kontingente für Benutzer und Gruppen.

  • Die SAML-Assertion und die SAML-Dokumente müssen signiert sein.

  • AWS Client VPN unterstützt nur die Bedingungen "AudienceRestriction" und "NotBefore und NotOnOrAfter" in SAML-Assertionen.

  • Die maximal unterstützte Größe für SAML-Antworten beträgt 128 KB.

  • AWS Client VPN stellt keine signierten Authentifizierungsanfragen bereit.

  • Die einmalige SAML-Abmeldung wird nicht unterstützt. Benutzer können sich abmelden, indem sie die Verbindung zum AWS bereitgestellten Client trennen, oder Sie können die Verbindungen beenden.

  • Client VPN-Endpunkte unterstützen nur einen einzelnen IdP.

  • Multi-Factor Authentication (MFA) wird unterstützt, wenn sie in Ihrem IdP aktiviert ist.

  • Benutzer müssen den AWS bereitgestellten Client verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen. Sie müssen Version 1.2.0 oder höher verwenden. Weitere Informationen finden Sie unter Herstellen einer Verbindung über den AWS bereitgestellten Client.

  • Die folgenden Browser werden für die IdP-Authentifizierung unterstützt: Apple Safari, Google Chrome, Microsoft Edge und Mozilla Firefox.

  • Der AWS bereitgestellte Client reserviert den TCP-Port 35001 auf den Geräten der Benutzer für die SAML-Antwort.

  • Wenn das Metadatendokument für den IAM SAML-Identitätsanbieter mit einer falschen oder bösartigen URL aktualisiert wird, kann dies zu Authentifizierungsproblemen für Benutzer oder zu Phishing-Angriffen führen. Daher empfiehlt es sich, am IAM SAML-Identitätsanbieter vorgenommene Aktualisierungen mit AWS CloudTrail zu überwachen. Weitere Informationen finden Sie unter Protokollierung von IAM- und AWS STS -Anrufen mit AWS CloudTrail im IAM-Benutzerhandbuch.

  • AWS Client VPN sendet über eine HTTP-Redirect-Bindung eine AuthN-Anfrage an den IdP. Daher sollte der IdP die HTTP-Redirect-Bindung unterstützen und sie sollte im Metadatendokument des IdP vorhanden sein.

  • Für die SAML-Assertion müssen Sie ein E-Mail-Adressformat für das NameID-Attribut verwenden.

Konfigurationsressourcen für SAML-basierte IdPs

In der folgenden Tabelle sind die SAML-basierten Produkte aufgeführt IdPs , die wir für die Verwendung mit ihnen getestet haben AWS Client VPN, sowie Ressourcen, die Ihnen bei der Konfiguration des IdP helfen können.

IdP Ressource
Okta Authentifizieren AWS Client VPN Sie Benutzer mit SAML
Microsoft Azure Active Directory Weitere Informationen finden Sie unter Tutorial: Azure Active Directory-Single-Sign-On-Integration (SSO) mit AWS ClientVPN auf der Microsoft-Dokumentationswebsite.
JumpCloud Einmaliges Anmelden (SSO) mit AWS Client VPN
AWS IAM Identity Center Verwenden von IAM Identity Center mit AWS Client VPN zur Authentifizierung und Autorisierung

Dienstanbieterinformationen zum Erstellen einer Anwendung

Um eine SAML-basierte App mit einem IdP zu erstellen, der nicht in der obigen Tabelle aufgeführt ist, verwenden Sie die folgenden Informationen, um die AWS Client VPN Service Provider-Informationen zu konfigurieren.

  • Assertionsverbraucherdienst-URL: http://127.0.0.1:35001

  • Zielgruppen-URI: urn:amazon:webservices:clientvpn

In der SAML-Antwort des IdP muss mindestens ein Attribut enthalten sein. Im Folgenden finden Sie einige Beispielattribute.

Attribut Beschreibung
FirstName Der Vorname des Benutzers.
LastName Der Nachname des Benutzers.
memberOf Die Gruppe oder Gruppen, zu der bzw. denen der Benutzer gehört.
Anmerkung

Das memberOf-Attribut ist für die Verwendung von gruppenbasierten Autorisierungsregeln für Active Directory oder SAML IdP erforderlich. Es wird auch zwischen Groß- und Kleinschreibung unterschieden, und es muss genau wie angegeben konfiguriert werden. Weitere Informationen finden Sie unter Netzwerkbasierte Autorisierung und Autorisierungsregeln.

Unterstützung des Self-Service-Portals

Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktivieren, melden sich Benutzer mit ihren SAML-basierten IdP-Anmeldeinformationen beim Portal an.

Wenn Ihr IdP mehrere Assertion Consumer Service (ACS) -URLs unterstützt, fügen Sie Ihrer App die folgende ACS-URL hinzu.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Wenn Sie den Client-VPN-Endpunkt in einer GovCloud Region verwenden, verwenden Sie stattdessen die folgende ACS-URL. Wenn Sie dieselbe IDP-App für die Authentifizierung sowohl für Standard- als auch für GovCloud Regionen verwenden, können Sie beide URLs hinzufügen.

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Wenn Ihr IdP nicht mehrere ACS-URLs unterstützt, gehen Sie folgendermaßen vor:

  1. Erstellen Sie eine zusätzliche SAML-basierte App in Ihrem IdP und geben Sie die folgende ACS-URL an.

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. Generieren und laden Sie ein Verbund-Metadaten-Dokument.

  3. Erstellen Sie einen IAM-SAML-Identitätsanbieter in demselben AWS Konto wie der Client-VPN-Endpunkt. Weitere Informationen finden Sie unter Erstellen von IAM SAML-Identitätsanbietern im IAM-Benutzerhandbuch.

    Anmerkung

    Sie erstellen diesen IAM SAML-Identitätsanbieter zusätzlich zu dem, den Sie für die Haupt-App erstellen.

  4. Erstellen Sie den Client VPN-Endpunkt und geben Sie die beiden von Ihnen erstellten IAM SAML-Identitätsanbieter an.