Authentification unique (authentification fédérée basée sur SAML 2.0) - AWS Client VPN
Flux de travail d'authentificationLes exigences et les observations relatives à l'authentification fédérée basée sur SAMLRessources de configuration d'un IdP basé sur SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification unique (authentification fédérée basée sur SAML 2.0)

AWS Client VPN prend en charge la fédération d'identité avec le langage SAML 2.0 (Security Assertion Markup Language 2.0) pour les points de terminaison VPN du Client. Vous pouvez utiliser des fournisseurs d'identité (IdPs) qui prennent en charge le protocole SAML 2.0 pour créer des identités utilisateur centralisées. Vous pouvez ensuite configurer un point de terminaison VPN Client pour utiliser l'authentification fédérée basée sur SAML et l'associer à l'IdP. Les utilisateurs se connectent ensuite au point de terminaison VPN Client avec leurs informations d'identification centralisées.

Pour permettre à votre IdP basé sur SAML de fonctionner avec un point de terminaison VPN Client, procédez comme suit.

  1. Créez une application basée sur SAML dans l'IdP de votre choix pour l'utiliser avec ou utiliser une AWS Client VPN application existante.

  2. Configurez votre fournisseur d'identité pour établir une relation de confiance avec AWS. Pour les ressources, consultez Ressources de configuration d'un IdP basé sur SAML.

  3. Dans votre fournisseur d'identité, générez et téléchargez un document de métadonnées de fédération qui décrit votre organisation en tant que fournisseur d'identité. Ce document XML signé est utilisé pour établir la relation de confiance entre AWS et l'IdP.

  4. Créez un fournisseur d'identité IAM SAML sur le même AWS compte que le point de terminaison VPN du Client. Le fournisseur d'identité IAM SAML définit la relation IDP àAWS confiance de votre organisation à l'aide du document de métadonnées généré par l'IdP. Pour plus d'informations, consultez Création de fournisseurs d'identité SAML IAM dans le Guide de l'utilisateur IAM. Si vous mettez à jour ultérieurement la configuration de l'application dans le fournisseur d'identité, générez un nouveau document de métadonnées et mettez à jour votre fournisseur d'identité SAML IAM.

    Note

    Vous n'avez pas besoin de créer un rôle IAM pour utiliser le fournisseur d'identité SAML IAM.

  5. Créez un point de terminaison VPN Client. Spécifiez l'authentification fédérée comme type d'authentification et spécifiez le fournisseur d'identité SAML IAM que vous avez créé. Pour plus d'informations, consultez Créer un point de terminaison VPN Client.

  6. Exportez le fichier de configuration du client et distribuez-le à vos utilisateurs. Demandez à vos utilisateurs de télécharger la dernière version du client fourni AWS et de l'utiliser pour charger le fichier de configuration et se connecter au point de terminaison VPN Client. Sinon, si vous avez activé le portail en libre-service pour votre point de terminaison VPN client, demandez à vos utilisateurs d'accéder au portail en libre-service pour obtenir le fichier de configuration et AWS le client fourni. Pour plus d’informations, consultez Accéder au portail en libre-service.

Flux de travail d'authentification

Le schéma suivant fournit une vue d'ensemble du flux de travail d'authentification pour un point de terminaison VPN Client qui utilise l'authentification fédérée basée sur SAML. Lorsque vous créez et configurez le point de terminaison VPN Client, vous spécifiez le fournisseur d'identité SAML IAM.

Flux de travail d'authentification

  1. L'utilisateur ouvre le client AWS fourni sur son appareil et établit une connexion avec le point de terminaison VPN du Client.

  2. Le point de terminaison VPN Client renvoie une URL de fournisseur d'identité et une demande d'authentification au client, en fonction des informations fournies dans le fournisseur d'identité SAML IAM.

  3. Le client AWS fourni ouvre une nouvelle fenêtre de navigateur sur l'appareil de l'utilisateur. Le navigateur fait une demande au fournisseur d'identité et affiche une page de connexion.

  4. L'utilisateur saisit ses informations d'identification sur la page de connexion et le fournisseur d'identité envoie une assertion SAML signée au client.

  5. Le client AWS fourni envoie l'assertion SAML au point de terminaison VPN du Client.

  6. Le point de terminaison VPN Client valide l'assertion et autorise ou refuse l'accès à l'utilisateur.

Les exigences et les observations relatives à l'authentification fédérée basée sur SAML

Voici les exigences et les considérations relatives à l'authentification fédérée basée sur SAML.

  • Pour connaître les quotas et les règles de configuration des utilisateurs et des groupes dans un IdP basé sur SAML, consultez Quotas d'utilisateurs et de groupes.

  • L'assertion SAML et les documents SAML doivent être signés.

  • AWS Client VPN ne prend en charge que les conditions « » NotBefore et NotOnOrAfter « » dans les assertions SAML. AudienceRestriction

  • La taille maximale prise en charge pour les réponses SAML est de 128 Ko.

  • AWS Client VPN ne fournit pas de demandes d'authentification signées.

  • La déconnexion unique SAML n'est pas prise en charge. Les utilisateurs peuvent se déconnecter en se déconnectant du client AWS fourni, ou vous pouvez mettre fin aux connexions.

  • Un point de terminaison VPN Client prend uniquement en charge une seule IdP.

  • L'authentification multifacteur (MFA) est prise en charge lorsqu'elle est activée dans votre IdP.

  • Les utilisateurs doivent utiliser le client AWS fourni pour se connecter au point de terminaison VPN du Client. Ils doivent utiliser la version 1.2.0 ou une version ultérieure. Pour plus d'informations, voir Connect à l'aide du client AWS fourni.

  • Les navigateurs suivants sont pris en charge pour l'authentification IdP: Apple Safari, Google Chrome, Microsoft Edge et Mozilla Firefox.

  • Le client AWS fourni réserve le port TCP 35001 sur les appareils des utilisateurs pour la réponse SAML.

  • La mise à jour du document de métadonnées du fournisseur d'identité SAML IAM avec une URL erronée ou malveillante peut entraîner des problèmes d'authentification pour les utilisateurs ou des attaques de phishing. Par conséquent, nous vous recommandons d'utiliser AWS CloudTrail pour surveiller les mises à jour du fournisseur d'identité SAML IAM. Pour plus d'informations, consultez Journalisation des appels d'IAM et AWS STS avec AWS CloudTrail dans le Guide de l'utilisateur IAM.

  • AWS Client VPN envoie une requête AuthN à l'IdP via une liaison de redirection HTTP. Par conséquent, l'IdP doit prendre en charge la liaison de redirection HTTP et elle doit être présente dans le document de métadonnées de l'IdP.

  • Pour l'assertion SAML, vous devez utiliser un format d'adresse e-mail pour l'attribut NameID.

Ressources de configuration d'un IdP basé sur SAML

Le tableau suivant répertorie les solutions basées sur le protocole SAML IdPs que nous avons testées pour être utilisées AWS Client VPN, ainsi que les ressources qui peuvent vous aider à configurer l'IdP.

IdP Ressource
Okta Authentifier les AWS Client VPN utilisateurs avec SAML
Microsoft Azure Active Directory (Azure AD) Pour plus d'informations, consultez Tutoriel : intégration de l'authentification unique (SSO) Azure Active Directory à AWS ClientVPN sur le site Web de documentation de Microsoft.
JumpCloud Authentification unique (SSO) avec AWS Client VPN
AWS IAM Identity Center Utilisation d'IAM Identity Center AWS Client VPN pour l'authentification et l'autorisation

Informations sur le fournisseur de services pour la création d'une application

Pour créer une application basée sur SAML à l'aide d'un IdP qui n'est pas répertorié dans le tableau précédent, utilisez les informations suivantes pour configurer les informations du AWS Client VPN fournisseur de services.

  • URL Assertion Consumer Service (ACS) : http://127.0.0.1:35001

  • URI du public ciblé: urn:amazon:webservices:clientvpn

Au moins un attribut doit être inclus dans la réponse SAML de l'IdP. Voici quelques exemples d'attributs.

Attribut Description
FirstName Le prénom de l'utilisateur.
LastName Le nom de famille de l'utilisateur.
memberOf Le ou les groupes dont fait partie l'utilisateur.
Note

L'attribut memberOf est requis pour utiliser les règles d'autorisation basées sur des groupes Active Directory ou IdP SAML. Il est également sensible à la casse et doit être configuré exactement comme spécifié. Pour plus d'informations, consultez Autorisation basée sur le réseau et Règles d'autorisation.

Prise en charge du portail en libre-service

Si vous activez le portail en libre-service pour votre point de terminaison VPN Client, les utilisateurs se connectent au portail à l'aide de leurs informations d'identification IdP basées sur SAML.

Si votre IdP prend en charge plusieurs URL Assertion Consumer Service (ACS), ajoutez l'URL ACS suivante à votre application.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Si vous utilisez le point de terminaison Client VPN dans une GovCloud région, utilisez plutôt l'URL ACS suivante. Si vous utilisez la même application IDP pour vous authentifier à la fois pour la norme et pour les GovCloud régions, vous pouvez ajouter les deux URL.

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Si votre IdP ne prend pas en charge plusieurs URL ACS, procédez comme suit :

  1. Créez une application SAML supplémentaire dans votre IdP et spécifiez l'URL ACS suivante.

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. Générez et téléchargez un document de métadonnées de fédération.

  3. Créez un fournisseur d'identité IAM SAML sur le même AWS compte que le point de terminaison VPN du Client. Pour plus d'informations, consultez Création de fournisseurs d'identité SAML IAM dans le Guide de l'utilisateur IAM.

    Note

    Vous créez ce fournisseur d'identité SAML IAM en plus de celui que vous créez pour l'application principale.

  4. Créez le point de terminaison VPN Client et spécifiez les deux fournisseurs d'identité SAML IAM que vous avez créés.