Single Sign-On (autenticazione federata basata su SAML 2.0) - AWS Client VPN
Flusso di lavoro di autenticazioneRequisiti e considerazioni per l'autenticazione federata basata su SAMLRisorse di configurazione IdP basate su SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Single Sign-On (autenticazione federata basata su SAML 2.0)

AWS Client VPN supporta la federazione delle identità con Security Assertion Markup Language 2.0 (SAML 2.0) per gli endpoint Client VPN. Puoi utilizzare provider di identità (IdPs) che supportano SAML 2.0 per creare identità utente centralizzate. Puoi quindi configurare un endpoint Client VPN per utilizzare l'autenticazione federata basata su SAML e associarlo al provider di identità. Gli utenti si connettono quindi all'endpoint Client VPN utilizzando le credenziali centralizzate.

Per consentire al provider di identità basato su SAML di utilizzare un endpoint Client VPN, è necessario eseguire le operazioni seguenti.

  1. Crea un'app basata su SAML nell'IdP prescelto da utilizzare con AWS Client VPN o utilizza un'app esistente.

  2. Configurare il provider di identità per stabilire una relazione di trust con AWS. Per le risorse, consulta Risorse di configurazione IdP basate su SAML.

  3. Nel provider di identità, generare e scaricare un documento di metadati della federazione che descrive l'organizzazione come un provider di identità. Questo documento XML firmato viene utilizzato per stabilire la relazione di fiducia tra AWS e l'IdP.

  4. Crea un provider di identità IAM SAML nello stesso AWS account dell'endpoint Client VPN. Il provider di identità IAM SAML definisce la relazione AWS IdP-trust dell'organizzazione utilizzando il documento di metadati generato dall'IdP. Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM. Se in seguito aggiorni la configurazione dell'app nel provider di identità, genera un nuovo documento di metadati e aggiorna il provider di identità SAML IAM.

    Nota

    Non è necessario creare un ruolo IAM per utilizzare il provider di identità SAML IAM.

  5. Crea un endpoint Client VPN. Specifica l'autenticazione federata come tipo di autenticazione e specifica il provider di identità SAML IAM che hai creato. Per ulteriori informazioni, consulta Creare un endpoint Client VPN.

  6. Esportare il file di configurazione del client e distribuirlo agli utenti. Chiedi agli utenti di scaricare la versione più recente del client fornito da AWS e di utilizzarla per caricare il file di configurazione ed eseguire la connessione all'endpoint Client VPN. In alternativa, se hai abilitato il portale self-service per il tuo endpoint Client VPN, chiedi ai tuoi utenti di accedere al portale self-service per ottenere il file di configurazione e il client fornito. AWS Per ulteriori informazioni, consulta Accedere al portale self-service.

Flusso di lavoro di autenticazione

Nel diagramma seguente viene fornita una panoramica del flusso di lavoro di autenticazione per un endpoint Client VPN che utilizza l'autenticazione federata basata su SAML. Quando crei e configuri l'endpoint Client VPN, specifichi il provider di identità SAML IAM.

Flusso di lavoro di autenticazione

  1. L'utente apre il client AWS fornito sul proprio dispositivo e avvia una connessione all'endpoint Client VPN.

  2. L'endpoint Client VPN invia un URL di provider di identità e una richiesta di autenticazione al client, in base alle informazioni fornite nel provider di identità SAML IAM.

  3. Il client AWS fornito apre una nuova finestra del browser sul dispositivo dell'utente. Il browser effettua una richiesta al provider di identità e visualizza una pagina di accesso.

  4. L'utente immette le proprie credenziali nella pagina di accesso e il provider di identità invia un'asserzione SAML firmata al client.

  5. Il client AWS fornito invia l'asserzione SAML all'endpoint Client VPN.

  6. L'endpoint Client VPN convalida l'asserzione e consente o rifiuta l'accesso all'utente.

Requisiti e considerazioni per l'autenticazione federata basata su SAML

Di seguito sono riportati i requisiti e le considerazioni per l'autenticazione federata basata su SAML.

  • Per le quote e le regole per la configurazione di utenti e gruppi in un provider di identità basato su SAML, consulta Quote di utenti e gruppi.

  • L'asserzione SAML e i documenti SAML devono essere firmati.

  • AWS Client VPN supporta solo le condizioni "AudienceRestriction" e "NotBefore e NotOnOrAfter" nelle asserzioni SAML.

  • La dimensione massima supportata per le risposte SAML è di 128 KB.

  • AWS Client VPN non fornisce richieste di autenticazione firmate.

  • La disconnessione singola SAML non è supportata. Gli utenti possono disconnettersi disconnettendosi dal client AWS fornito oppure è possibile interrompere le connessioni.

  • Un endpoint Client VPN supporta solo un singolo provider di identità.

  • Multi-factor authentication (MFA) è supportata quando è abilitata nel provider di identità.

  • Gli utenti devono utilizzare il client AWS fornito per connettersi all'endpoint Client VPN. È richiesta la versione 1.2.0 o successiva. Per ulteriori informazioni, consulta Connect using the AWS provided client.

  • Per l'autenticazione IdP sono supportati i seguenti browser: Apple Safari, Google Chrome, Microsoft Edge e Mozilla Firefox.

  • Il client AWS fornito riserva la porta TCP 35001 sui dispositivi degli utenti per la risposta SAML.

  • Se il documento di metadati per il provider di identità SAML IAM viene aggiornato con un URL errato o dannoso, si possono verificare problemi di autenticazione per gli utenti o generare attacchi di phishing. Pertanto, si consiglia di utilizzare AWS CloudTrail per monitorare gli aggiornamenti che vengono effettuati al provider di identità SAML IAM. Per ulteriori informazioni, consulta Registrazione di chiamate IAM e AWS STS con AWS CloudTrail nella Guida per l'utente di IAM.

  • AWS Client VPN invia una richiesta AuthN all'IdP tramite un'associazione di reindirizzamento HTTP. Pertanto, il provider di identità dovrebbe supportare l'associazione di reindirizzamento HTTP e deve essere presente nel documento di metadati del provider di identità.

  • Per l'asserzione SAML, è necessario utilizzare un formato di indirizzo e-mail per l'attributo NameID.

Risorse di configurazione IdP basate su SAML

La tabella seguente elenca i modelli basati su SAML IdPs per i quali abbiamo testato l'utilizzo e le risorse che possono aiutarti a configurare l'IdP. AWS Client VPN

IdP Risorsa
Okta Autentica AWS Client VPN gli utenti con SAML
Microsoft Azure Active Directory Per altre informazioni, vedi Tutorial: Integrazione single sign-on (SSO) di Azure Active Directory con AWS ClientVPN nel sito Web della documentazione Microsoft.
JumpCloud Single Sign-On (SSO) con AWS Client VPN
AWS IAM Identity Center Utilizzo di IAM Identity Center con AWS Client VPN per l'autenticazione e l'autorizzazione

Informazioni sul fornitore di servizi per la creazione di un'app

Per creare un'app basata su SAML utilizzando un IdP non elencato nella tabella precedente, utilizza le seguenti informazioni per configurare le informazioni sul fornitore di servizi. AWS Client VPN

  • URL ACS (Assertion Consumer Service): http://127.0.0.1:35001

  • URI audience: urn:amazon:webservices:clientvpn

Almeno un attributo deve essere incluso nella risposta SAML dell'IdP. Di seguito vengono mostrati degli attributi di esempio.

Attributo Descrizione
FirstName Il nome dell'utente.
LastName Il cognome dell'utente.
memberOf Il gruppo o i gruppi a cui appartiene l'utente.
Nota

L'attributo memberOf è necessario per utilizzare le regole di autorizzazione basate sui gruppi Active Directory o SAML IdP. Gli attributi fanno distinzione tra maiuscole e minuscole e devono essere configurati esattamente come specificato. Per ulteriori informazioni, consulta Autorizzazione di rete e Regole di autorizzazione.

Supporto per il portale self-service

Se abiliti il portale self-service per l'endpoint Client VPN, gli utenti accedono al portale utilizzando le proprie credenziali del provider di identità basate su SAML.

Se il tuo provider di identità supporta molteplici URL Assertion Consumer Service (ACS), aggiungi il seguente URL ACS all'app.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Se utilizzi l'endpoint Client VPN in una GovCloud regione, utilizza invece il seguente URL ACS. Se utilizzi la stessa app IDP per l'autenticazione sia per gli standard che per le GovCloud regioni, puoi aggiungere entrambi gli URL.

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

Se il provider di identità non supporta molteplici URL ACS, effettua le seguenti operazioni:

  1. Crea un'app aggiuntiva basata su SAML nel provider di identità e specifica il seguente URL ACS.

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. Genera e scarica un documento di metadati della federazione.

  3. Crea un provider di identità IAM SAML nello stesso AWS account dell'endpoint Client VPN. Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM.

    Nota

    Crei questo provider di identità SAML IAM in aggiunta a quello creato per l'app principale.

  4. Crea l'endpoint Client VPN e specifica entrambi i provider di identità SAML IAM creati.