AWS ParallelClusterIntégration de l'interface utilisateur à Identity Center

L'objectif de ce didacticiel est de montrer comment intégrer l'AWS ParallelClusterinterface utilisateur à IAM Identity Center pour créer une solution d'authentification unique qui unifie les utilisateurs dans Active Directory et qui peut être partagée avec des clusters. AWS ParallelCluster

Lors de l'utilisationAWS ParallelCluster, vous ne payez que pour les AWS ressources créées lorsque vous créez ou mettez à jour AWS ParallelCluster des images et des clusters. Pour en savoir plus, consultez AWSservices utilisés par AWS ParallelCluster.

Prérequis :

• Une AWS ParallelCluster interface utilisateur existante qui peut être installée en suivant les instructions ici.

• Un Active Directory géré existant, de préférence un annuaire que vous utiliserez également pour l'intégration AWS ParallelCluster.

Activer IAM Identity Center

Si vous avez déjà un centre d'identité connecté à votre AWS Managed Microsoft AD (Active Directory), il peut être utilisé et vous pouvez passer à la section Ajouter votre application à IAM Identity Center.

Si aucun centre d'identité n'est déjà connecté à unAWS Managed Microsoft AD, suivez les étapes ci-dessous pour le configurer.

Activation du centre d'identité

1. Dans la console, accédez à IAM Identity Center. (Assurez-vous que vous vous trouvez dans la région dans laquelle vous avez votreAWS Managed Microsoft AD.)

2. Cliquez sur le bouton Activer. Cela peut vous demander si vous souhaitez activer les organisations. C'est une obligation pour que vous puissiez choisir de l'activer. Remarque : Cela enverra à l'administrateur de votre compte un e-mail de confirmation vous demandant de suivre le lien pour confirmer.

Connecter Identity Center à Managed AD

1. Sur la page suivante, après avoir activé le centre d'identité, vous devriez voir les étapes de configuration recommandées. À l'étape 1, sélectionnez Choisissez votre source d'identité.

2. Dans la section Source d'identité, cliquez sur le menu déroulant Actions (en haut à droite), puis sélectionnez Modifier la source d'identité.

3. Sélectionnez Active Directory.

4. Sous Répertoires existants, choisissez votre répertoire.

5. Cliquez sur Next (Suivant).

6. Passez en revue vos modifications, faites défiler l'écran vers le bas, tapez ACCEPT dans la zone de texte pour confirmer, puis cliquez sur Modifier la source d'identité.

7. Attendez que les modifications soient terminées, puis vous devriez voir une bannière verte en haut.

Synchronisation des utilisateurs et des groupes avec Identity Center

1. Dans le bandeau vert, cliquez sur Démarrer la configuration guidée (bouton en haut à droite)

   

2. Dans la section Configurer les mappages d'attributs, cliquez sur Suivant

3. Dans la section Configurer l'étendue de synchronisation, saisissez le nom des utilisateurs que vous souhaitez synchroniser avec le centre d'identité, puis cliquez sur Ajouter

4. Une fois que vous avez terminé d'ajouter des utilisateurs et des groupes, cliquez sur Suivant

   

5. Vérifiez vos modifications, puis cliquez sur Enregistrer la configuration

6. Si l'écran suivant affiche un avertissement indiquant que les utilisateurs ne sont pas synchronisés, sélectionnez le bouton Reprendre la synchronisation en haut à droite.

7. Ensuite, pour activer les utilisateurs, dans l'onglet Utilisateurs sur la gauche, sélectionnez un utilisateur, puis cliquez sur Activer l'accès utilisateur > Activer l'accès utilisateur

   Remarque : vous devrez peut-être sélectionner Reprendre la synchronisation si une bannière d'avertissement apparaît en haut, puis attendre que les utilisateurs se synchronisent (essayez le bouton d'actualisation pour voir s'ils sont déjà synchronisés).

   

Ajouter votre application à IAM Identity Center

Une fois que vous avez synchronisé vos utilisateurs avec IAM Identity Center, vous devez ajouter une nouvelle application. Cela permet de configurer les applications compatibles SSO qui seront disponibles sur votre portail IAM Identity Center. Dans ce cas, nous ajouterons l'AWS ParallelClusterinterface utilisateur en tant qu'application tandis que IAM Identity Center sera le fournisseur d'identité.

L'étape suivante consiste à ajouter l'AWS ParallelClusterinterface utilisateur en tant qu'application dans IAM Identity Center. AWS ParallelCluster L'interface utilisateur est un portail Web qui aide l'utilisateur à gérer ses clusters. Pour plus d'informations, voir AWS ParallelClusterUI.

Configuration de l'application dans Identity Center

1. Sous IAM Identity Center > Applications (dans la barre de menu de gauche, cliquez sur Applications)

2. Cliquez sur Ajouter une application

3. Sélectionnez Ajouter une application SAML 2.0 personnalisée

4. Cliquez sur Suivant

5. Sélectionnez le nom d'affichage et la description que vous souhaitez utiliser (par exemple, PCUI et AWS ParallelCluster interface utilisateur)

6. Sous métadonnées IAM Identity Center, copiez le lien vers le fichier de métadonnées SAML d'IAM Identity Center et enregistrez-le pour plus tard. Il sera utilisé lors de la configuration de l'authentification unique sur l'application Web

7. Sous Propriétés de l'application, dans l'URL de démarrage de l'application, saisissez votre adresse PCUI. Vous pouvez le trouver en accédant à la CloudFormation console, en sélectionnant la pile qui correspond à PCUI (par exemple parallelcluster-ui) et en accédant à l'onglet Outputs pour trouver UIURL ParallelCluster

   par exemple https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

8. Sous Métadonnées de l'application, choisissez Tapez manuellement vos valeurs de métadonnées. Fournissez ensuite les valeurs suivantes.

   1. Important : assurez-vous de remplacer les valeurs du préfixe de domaine, de la région et de l'identifiant du pool d'utilisateurs par des informations spécifiques à votre environnement.

   2. Le préfixe de domaine, la région et l'identifiant du pool d'utilisateurs peuvent être obtenus en ouvrant la console Amazon Cognito > Groupes d'utilisateurs

      

   3. Sélectionnez le groupe d'utilisateurs correspondant à PCUI (qui aura un nom de groupe d'utilisateurs tel que PCUI-CD8A2-Cognito-153EK3to45S98-UserPool)

   4. Accédez à l'intégration des applications

      

9. URL du service ACS (Application Assertion Consumer Service) : https ://<domain-prefix>.auth. <region>.amazoncognito.com/saml2/idpresponse

   Audience SAML de l'application : urn:amazon:cognito:sp : <userpool-id>

10. Sélectionnez Envoyer. Accédez ensuite à la page Détails de l'application que vous avez ajoutée.

11. Sélectionnez la liste déroulante Actions et choisissez Modifier les mappages d'attributs. Fournissez ensuite les attributs suivants.

    1. Attribut utilisateur dans l'application : sujet (Remarque : le sujet est prérempli.) → Correspond à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center : $ {user:email}, Format : EmailAddress

    2. Attribut utilisateur dans l'application : email → Correspond à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center : $ {user:email}, Format : non spécifié

       

12. Enregistrez vos modifications.

13. Cliquez sur le bouton Attribuer des utilisateurs, puis assignez votre utilisateur à l'application. Il s'agit des utilisateurs de votre Active Directory qui auront accès à l'interface PCUI.

    

Configurer IAM Identity Center en tant qu'IdP SAML dans votre groupe d'utilisateurs

1. Dans les paramètres de votre groupe d'utilisateurs, sélectionnez Expérience de connexion > Ajouter un fournisseur d'identité

   

2. Choisissez un IdP SAML

3. Pour le nom du fournisseur, indiquez IdentityCenter

4. Sous Source du document de métadonnées, choisissez Entrer l'URL du point de terminaison du document de métadonnées et fournissez l'URL copiée lors de la configuration de l'application d'Identity Center

5. Sous Attributs, pour e-mail, choisissez e-mail

   

6. Sélectionnez Ajouter un fournisseur d'identité.

Intégrer l'IdP au client de l'application du pool d'utilisateurs

1. Ensuite, dans la section Intégration des applications de votre groupe d'utilisateurs, choisissez le client répertorié dans la liste des clients des applications

   

2. Sous Interface utilisateur hébergée, choisissez Modifier

3. Dans la section Identity, IdentityCenterles fournisseurs choisissent également.

4. Choisissez Enregistrer les modifications

Validez votre configuration

1. Ensuite, nous allons valider la configuration que nous venons de créer en nous connectant à PCUI. Connectez-vous à votre portail PCUI et vous devriez maintenant voir une option vous permettant de vous connecter avec votre identifiant d'entreprise :

   

2. Cliquez sur le IdentityCenterbouton pour accéder à la connexion IdP du IAM Identity Center, suivie d'une page contenant vos applications, y compris le PCUI. Ouvrez cette application.

3. Une fois que vous aurez atteint l'écran suivant, votre utilisateur aura été ajouté au groupe d'utilisateurs de Cognito.

   

Faites de votre utilisateur un administrateur

1. Accédez à présent à la console Amazon Cognito > Groupes d'utilisateurs et sélectionnez le nouvel utilisateur qui doit avoir le préfixe identitycenter

   

2. Sous Appartenances à des groupes, sélectionnez Ajouter un utilisateur au groupe, choisissez administrateur et cliquez sur Ajouter.

3. Maintenant, lorsque vous cliquez sur Continuer, IdentityCenter vous serez dirigé vers la page de l'AWS ParallelClusterinterface utilisateur.