Konfigurasikan akses federasi ke Amazon Athena untuk pengguna Microsoft AD FS menggunakan klien ODBC

Untuk mengatur akses federasi ke Amazon Athena untuk pengguna Microsoft Active Directory Federation Services (AD FS) menggunakan ODBC klien, pertama-tama Anda membangun kepercayaan antara AD FS dan AWS akun Anda. Dengan kepercayaan ini, pengguna AD Anda dapat bergabung AWS menggunakan kredensi AD mereka dan menerima izin peran AWS Identity and Access Management(IAM) untuk mengakses AWS sumber daya seperti Athena. API

Untuk membuat kepercayaan ini, Anda menambahkan AD FS sebagai SAML penyedia ke Anda Akun AWS dan membuat IAM peran yang dapat diasumsikan oleh pengguna federasi. Di sisi AD FS, Anda menambahkan AWS sebagai pihak yang mengandalkan dan menulis aturan SAML klaim untuk mengirim atribut pengguna yang tepat AWS untuk otorisasi (khususnya, Athena dan Amazon S3).

Mengkonfigurasi akses AD FS ke Athena melibatkan langkah-langkah utama berikut:

1. Menyiapkan IAM SAML penyedia dan peran

2. Mengkonfigurasi AD FS

3. Membuat pengguna dan grup Active Directory

4. Mengkonfigurasi ODBC koneksi AD FS ke Athena

1. Menyiapkan IAM SAML penyedia dan peran

Di bagian ini, Anda menambahkan AD FS sebagai SAML penyedia ke AWS akun Anda dan membuat IAM peran yang dapat diambil oleh pengguna federasi Anda.

Untuk menyiapkan SAML penyedia

1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Pada panel navigasi, silakan pilih Penyedia identitas.

3. Pilih Tambah penyedia.

4. Untuk tipe Provider, pilih SAML.

   

5. Untuk nama Penyedia, masukkanadfs-saml-provider.

6. Di browser, masukkan alamat berikut untuk mengunduh XML file federasi untuk server AD FS Anda. Untuk melakukan langkah ini, browser Anda harus memiliki akses ke server AD FS.

   https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml       

7. Di IAM konsol, untuk dokumen Metadata, pilih Pilih file, lalu unggah file metadata federasi ke. AWS

8. Untuk menyelesaikannya, pilih Tambah penyedia.

Selanjutnya, Anda membuat IAM peran yang dapat diasumsikan oleh pengguna federasi Anda.

Untuk membuat IAM peran bagi pengguna federasi

1. Di panel navigasi IAM konsol, pilih Peran.

2. Pilih Buat peran.

3. Untuk jenis entitas Tepercaya, pilih federasi SAML 2.0.

4. Untuk penyedia SAML berbasis 2.0, pilih adfs-saml-providerpenyedia yang Anda buat.

5. Pilih Izinkan akses Konsol Terprogram dan AWS Manajemen, lalu pilih Berikutnya.

   

6. Pada halaman Tambahkan izin, filter untuk kebijakan IAM izin yang Anda perlukan untuk peran ini, lalu pilih kotak centang yang sesuai. Tutorial ini melampirkan AmazonAthenaFullAccess dan AmazonS3FullAccess kebijakan.

   
   

7. Pilih Berikutnya.

8. Pada halaman Nama, tinjau, dan buat, untuk nama Peran, masukkan nama untuk peran tersebut. Tutorial ini menggunakan nama adfs-data-access.

   Pada Langkah 1: Pilih entitas tepercaya, bidang Principal harus diisi "Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider" secara otomatis. ConditionBidang harus berisi "SAML:aud" dan"https://signin.aws.amazon.com/saml".

   

   Langkah 2: Tambahkan izin menunjukkan kebijakan yang telah Anda lampirkan ke peran tersebut.

   

9. Pilih Buat peran. Pesan spanduk mengkonfirmasi penciptaan peran.

10. Pada halaman Peran, pilih nama peran yang baru saja Anda buat. Halaman ringkasan untuk peran menunjukkan kebijakan yang telah dilampirkan.

    

2. Mengkonfigurasi AD FS

Sekarang Anda siap untuk menambahkan AWS sebagai pihak yang mengandalkan dan menulis aturan SAML klaim sehingga Anda dapat mengirim atribut pengguna yang tepat AWS untuk otorisasi.

SAMLfederasi berbasis memiliki dua pihak peserta: IDP (Active Directory) dan pihak yang mengandalkan (AWS), yang merupakan layanan atau aplikasi yang menggunakan otentikasi dari IDP.

Untuk mengonfigurasi AD FS, pertama-tama Anda menambahkan kepercayaan pihak yang bergantung, lalu mengonfigurasi aturan SAML klaim untuk pihak yang mengandalkan. AD FS menggunakan aturan klaim untuk membentuk SAML pernyataan yang dikirim ke pihak yang mengandalkan. SAMLPernyataan tersebut menyatakan bahwa informasi tentang pengguna AD adalah benar, dan telah mengautentikasi pengguna.

Menambahkan kepercayaan pihak yang mengandalkan

Untuk menambahkan kepercayaan pihak yang bergantung pada AD FS, Anda menggunakan pengelola server AD FS.

Untuk menambahkan kepercayaan pihak yang mengandalkan AD FS

1. Masuk ke server AD FS.

2. Pada menu Start, buka Server Manager.

3. Pilih Tools, lalu pilih AD FS Management.

   

4. Di panel navigasi, di bawah Trust Relationships, pilih Relying Party Trusts.

5. Di bawah Tindakan, pilih Tambahkan Kepercayaan Pihak yang Mengandalkan.

   

6. Pada halaman Add Relying Party Trust Wizard, pilih Mulai.

   

7. Di Pilih Sumber Data layar, pilih opsi Impor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal.

8. Untuk alamat metadata Federasi (nama host atauURL), masukkan URL https://signin.aws.amazon.com/static/saml-metadata.xml

9. Pilih Berikutnya.

   

10. Pada halaman Tentukan Nama Tampilan, untuk Nama tampilan, masukkan nama tampilan untuk pihak yang Anda andalkan, lalu pilih Berikutnya.

    

11. Pada halaman Configure Multi-factor Authentication Now, tutorial ini memilih Saya tidak ingin mengonfigurasi otentikasi multi-faktor untuk kepercayaan pihak yang mengandalkan ini saat ini.

    Untuk meningkatkan keamanan, kami menyarankan Anda mengonfigurasi otentikasi multi-faktor untuk membantu melindungi sumber daya Anda AWS . Karena menggunakan dataset sampel, tutorial ini tidak mengaktifkan otentikasi multi-faktor.

    

12. Pilih Berikutnya.

13. Pada halaman Pilih Aturan Otorisasi Penerbitan, pilih Izinkan semua pengguna untuk mengakses pihak yang bergantung ini.

    Opsi ini memungkinkan semua pengguna di Active Directory untuk menggunakan AD FS AWS sebagai pihak yang mengandalkan. Anda harus mempertimbangkan persyaratan keamanan Anda dan menyesuaikan konfigurasi ini sesuai dengan itu.

    

14. Pilih Berikutnya.

15. Pada halaman Siap Tambah Kepercayaan, pilih Berikutnya untuk menambahkan kepercayaan pihak yang mengandalkan ke database konfigurasi AD FS.

    

16. Pada halaman Selesai, pilih Tutup.

    

Mengkonfigurasi aturan SAML klaim untuk pihak yang mengandalkan

Dalam tugas ini, Anda membuat dua set aturan klaim.

Set pertama, aturan 1—4, berisi aturan klaim AD FS yang diperlukan untuk mengambil IAM peran berdasarkan keanggotaan grup AD. Ini adalah aturan yang sama yang Anda buat jika Anda ingin membuat akses federasi ke. AWS Management Console

Set kedua, aturan 5—6, adalah aturan klaim yang diperlukan untuk kontrol akses Athena.

Untuk membuat aturan klaim AD FS

1. Di panel navigasi konsol Manajemen AD FS, pilih Trust Relationships, Relying Party Trusts.

2. Temukan pihak yang mengandalkan yang Anda buat di bagian sebelumnya.

3. Klik kanan pihak yang mengandalkan dan pilih Edit Aturan Klaim, atau pilih Edit Aturan Klaim dari menu Tindakan.

   

4. Pilih Tambahkan aturan.

5. Pada halaman Configure Rule dari Add Transform Claim Rule Wizard, masukkan informasi berikut untuk membuat aturan klaim 1, lalu pilih Selesai.

   • Untuk nama Aturan Klaim, masukkanNameID.

   • Untuk template Aturan, gunakan Transform an Incoming Claim.

   • Untuk jenis klaim masuk, pilih nama akun Windows.

   • Untuk jenis klaim keluar, pilih ID Nama.

   • Untuk format ID nama keluar, pilih Persistent Identifier.

   • Pilih Lewati semua nilai klaim.

   

6. Pilih Tambah Aturan, lalu masukkan informasi berikut untuk membuat aturan klaim 2, lalu pilih Selesai.

   • Untuk nama aturan Klaim, masukkanRoleSessionName.

   • Untuk template Aturan, gunakan Kirim LDAP Atribut sebagai Klaim.

   • Untuk toko Atribut, pilih Active Directory.

   • Untuk Pemetaan LDAP atribut ke tipe klaim keluar, tambahkan atribut. E-Mail-Addresses Untuk Jenis Klaim Keluar, masukkan https://aws.amazon.com/SAML/Attributes/RoleSessionName.

   

7. Pilih Tambah Aturan, lalu masukkan informasi berikut untuk membuat aturan klaim 3, lalu pilih Selesai.

   • Untuk nama aturan Klaim, masukkanGet AD Groups.

   • Untuk templat Aturan, gunakan Kirim Klaim Menggunakan Aturan Kustom.

   • Untuk aturan Custom, masukkan kode berikut:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
      Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),  
      query = ";tokenGroups;{0}", param = c.Value);
     

     

8. Pilih Tambahkan aturan. Masukkan informasi berikut untuk membuat aturan klaim 4, lalu pilih Selesai.

   • Untuk nama aturan Klaim, masukkanRole.

   • Untuk templat Aturan, gunakan Kirim Klaim Menggunakan Aturan Kustom.

   • Untuk aturan Kustom, masukkan kode berikut dengan nomor akun dan nama SAML penyedia yang Anda buat sebelumnya:

     c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",  
     Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));

   

3. Membuat pengguna dan grup Active Directory

Sekarang Anda siap membuat pengguna AD yang akan mengakses Athena, dan grup AD untuk menempatkannya sehingga Anda dapat mengontrol tingkat akses berdasarkan grup. Setelah membuat grup AD yang mengkategorikan pola akses data, Anda menambahkan pengguna ke grup tersebut.

Untuk membuat pengguna AD untuk akses ke Athena

1. Di dasbor Server Manager, pilih Tools, lalu pilih Active Directory Users and Computers.

   

2. Di panel navigasi, pilih Pengguna.

3. Pada bilah alat Pengguna dan Komputer Direktori Aktif, pilih opsi Buat pengguna.

   

4. Di kotak dialog Objek Baru - Pengguna, untuk Nama depan, Nama belakang, dan Nama lengkap, masukkan nama. Tutorial ini menggunakan Jane Doe.

   

5. Pilih Berikutnya.

6. Untuk Kata Sandi, masukkan kata sandi, lalu ketik ulang untuk mengonfirmasi.

   Untuk mempermudah, tutorial ini membatalkan pilihan Pengguna harus mengubah kata sandi saat masuk berikutnya. Dalam skenario dunia nyata, Anda harus meminta pengguna yang baru dibuat untuk mengubah kata sandi mereka.

   

7. Pilih Berikutnya.

8. Pilih Selesai.

   

9. Di Active Directory Users and Computers, pilih nama pengguna.

10. Dalam kotak dialog Properti untuk pengguna, untuk E-mail, masukkan alamat email. Tutorial ini menggunakan jane@example.com.

    

11. Pilih OKE.

Buat grup AD untuk mewakili pola akses data

Anda dapat membuat grup AD yang anggotanya adfs-data-access IAM berperan saat mereka masuk AWS. Contoh berikut membuat grup AD yang disebut aws-adfs-data-access.

Untuk membuat grup AD

1. Pada Dasbor Server Manager, dari menu Tools, pilih Active Directory Users and Computers.

2. Pada bilah alat, pilih opsi Buat grup baru.

   

3. Di kotak dialog Objek Baru - Grup, masukkan informasi berikut:

   • Untuk nama Grup, masukkanaws-adfs-data-access.

   • Untuk lingkup Grup, pilih Global.

   • Untuk jenis Grup, pilih Keamanan.

   

4. Pilih OKE.

Tambahkan pengguna AD ke grup yang sesuai

Sekarang setelah Anda membuat pengguna AD dan grup AD, Anda dapat menambahkan pengguna ke grup.

Untuk menambahkan pengguna AD ke grup AD

1. Pada Dasbor Server Manager, pada menu Tools, pilih Active Directory Users and Computers.

2. Untuk Nama depan dan Nama belakang, pilih pengguna (misalnya, Jane Doe).

3. Di kotak dialog Properti untuk pengguna, pada tab Anggota Dari, pilih Tambah.

   

4. Tambahkan satu atau lebih grup AD FS sesuai dengan kebutuhan Anda. Tutorial ini menambahkan aws-adfs-data-accessgrup.

5. Dalam kotak dialog Pilih Grup, untuk Masukkan nama objek yang akan dipilih, masukkan nama grup AD FS yang Anda buat (misalnya,aws-adfs-data-access), lalu pilih Periksa Nama.

   

6. Pilih OKE.

   Di kotak dialog Properti untuk pengguna, nama grup AD muncul di daftar Anggota.

   

7. Pilih Terapkan, lalu pilih OK.

4. Mengkonfigurasi ODBC koneksi AD FS ke Athena

Setelah Anda membuat pengguna dan grup AD, Anda siap menggunakan program Sumber ODBC Data di Windows untuk mengonfigurasi ODBC koneksi Athena Anda untuk AD FS.

Untuk mengonfigurasi ODBC koneksi AD FS ke Athena

1. Instal ODBC driver untuk Athena. Untuk tautan unduhan, lihatConnect ke Amazon Athena dengan ODBC.

2. Di Windows, pilih Mulai, Sumber ODBC Data.

3. Dalam program Administrator Sumber ODBC Data, pilih Tambah.

   

4. Dalam Buat Sumber Data Baru kotak dialog, pilih Simba ODBC Athena Driver, lalu pilih Selesai.

   

5. Dalam kotak dialog Pengaturan DSNDriver Simba ODBC Athena, masukkan nilai berikut:

   • Untuk Nama Sumber Data, masukkan nama untuk sumber data Anda (misalnya, Athena-odbc-test).

   • Untuk Deskripsi, masukkan deskripsi untuk sumber data Anda.

   • Untuk Wilayah AWS, masukkan Wilayah AWS yang Anda gunakan (misalnya, us-west-1).

   • Untuk Lokasi Output S3, masukkan jalur Amazon S3 tempat Anda ingin output disimpan.

   

6. Pilih Opsi Otentikasi.

7. Dalam Opsi Otentikasi kotak dialog, tentukan nilai berikut:

   • Untuk Jenis Otentikasi, pilih ADFS.

   • Untuk Pengguna, masukkan alamat email pengguna (misalnya,jane@example.com).

   • Untuk Kata Sandi, masukkan ADFS kata sandi pengguna.

   • Untuk iDP Host, masukkan nama server AD FS (misalnya,adfs.example.com).

   • Untuk IDP Port, gunakan nilai default 443.

   • Pilih opsi SSLTidak Aman.

   

8. Pilih OK untuk menutup Opsi Otentikasi.

9. Pilih Uji untuk menguji koneksi, atau OK untuk menyelesaikan.