öğretici: aws clientvpn ile çoklu oturum açma (SSO) tümleştirmesi Azure Active Directory

Bu öğreticide, AWS ClientVPN 'i Azure Active Directory (Azure AD) ile tümleştirmeyi öğreneceksiniz. AWS ClientVPN 'yi Azure AD ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Azure AD 'de AWS ClientVPN erişimi olan denetim.
  • Kullanıcılarınızın Azure AD hesaplarıyla AWS ClientVPN 'ye otomatik olarak oturum açmalarına olanak sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin-Azure portal.

Önkoşullar

Başlamak için aşağıdaki öğeler gereklidir:

  • Bir Azure AD aboneliği. Aboneliğiniz yoksa ücretsiz bir hesapalabilirsiniz.
  • AWS ClientVPN çoklu oturum açma (SSO) aboneliği etkin.

Senaryo açıklaması

Bu öğreticide, Azure AD SSO 'yu bir test ortamında yapılandırıp test edersiniz.

  • AWS ClientVPN, SP tarafından başlatılan SSO 'yu destekler.

  • AWS ClientVPN , tam zamanında Kullanıcı sağlamayı destekler.

Not

Bu uygulamanın tanımlayıcısı, tek bir kiracıda yalnızca bir örneğin yapılandırılabilmesini sağlamak için sabit bir dize değeridir.

AWS ClientVPN tümleştirmesini Azure AD 'ye göre yapılandırmak için, Galeriden AWS ClientVPN ' i yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Azure portal iş veya okul hesabı ya da kişisel Microsoft hesabı kullanarak oturum açın.
  2. sol gezinti bölmesinde Azure Active Directory hizmeti ' ni seçin.
  3. Enterprise uygulamalar ' a gidin ve tüm uygulamalar' ı seçin.
  4. Yeni uygulama eklemek için Yeni uygulama' yı seçin.
  5. Galeriden Ekle bölümünde, arama kutusuna AWS clientvpn yazın.
  6. Sonuçlar panelinden AWS ClientVPN ' i seçin ve ardından uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

AWS ClientVPN için Azure AD SSO 'yu yapılandırma ve test etme

B. Simon adlı bir test kullanıcısı kullanarak AWS clientvpn Ile Azure AD SSO 'yu yapılandırın ve test edin. SSO 'nun çalışması için, AWS ClientVPN içindeki bir Azure AD kullanıcısı ve ilgili Kullanıcı arasında bir bağlantı ilişkisi oluşturmanız gerekir.

AWS ClientVPN ile Azure AD SSO 'yu yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Azure AD SSO 'Yu yapılandırın -kullanıcılarınızın bu özelliği kullanmasını sağlamak için.
    1. Azure AD test kullanıcısı oluşturun -B. Simon Ile Azure AD çoklu oturum açma sınamasını test edin.
    2. Azure AD Test kullanıcısına atama -Azure AD çoklu oturum açma özelliğini kullanmak için B. Simon 'u etkinleştirmek için.
  2. AWS ClientVPN SSO 'Yu yapılandırma -uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için.
    1. AWS clientvpn test kullanıcısı oluşturun -kullanıcının Azure AD gösterimine bağlı olan AWS clientvpn 'de B. Simon 'a karşılık gelen bir karşılığı vardır.
  3. Test SSO -yapılandırmanın çalışıp çalışmadığını doğrulamak için.

Azure AD SSO’yu yapılandırma

Azure portal Azure AD SSO 'yu etkinleştirmek için bu adımları izleyin.

  1. Azure portal, AWS ClientVPN uygulama tümleştirmesi sayfasında, Yönet bölümünü bulun ve Çoklu oturum açma' yı seçin.

  2. Çoklu oturum açma yöntemi seçin sayfasında SAML' yi seçin.

  3. SAML ile çoklu oturum açmayı ayarlama sayfasında, ayarları düzenlemek IÇIN temel SAML yapılandırması kalem simgesine tıklayın.

    Temel SAML yapılandırmasını düzenle

  4. Temel SAML yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:

    a. Oturum açma URL 'si metin kutusunda, aşağıdaki kalıbı kullanarak bir URL yazın:https://<LOCALHOST>

    b. Yanıt URL 'si metin kutusuna aşağıdaki desenlerden birini kullanarak bir URL yazın:

    Yanıt URL'si
    http://<LOCALHOST>
    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

    Not

    Bu değerler gerçek değildir. Bu değerleri, gerçek oturum açma URL 'SI ve yanıt URL 'SI ile güncelleştirin. Oturum açma URL 'SI ve yanıt URL 'SI aynı değere sahip olabilir ( http://127.0.0.1:35001) . Ayrıntılar için AWS ISTEMCISI VPN belgelerine başvurun. Ayrıca, Azure portal temel SAML yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz. Tüm yapılandırma sorunları için AWS ClientVPN destek ekibine başvurun.

  5. Azure Active Directory hizmetinde Uygulama kayıtları ' a gidin ve tüm uygulamalar' ı seçin.

  6. Arama kutusuna AWS clientvpn yazın ve arama panelinden AWS clientvpn ' yi seçin.

  7. Bildirim ' e tıklayın ve tümleştirme çalışmasını sağlamak IÇIN yanıt URL 'sini https yerine http olarak tutmanız gerekir, Kaydet' e tıklayın.

    bildirim sayfası

  8. AWS ClientVPN uygulaması, SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektiren belirli bir biçimde SAML onayları bekler. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    image

  9. AWS ClientVPN uygulaması, yukarıdakine ek olarak aşağıda gösterilen SAML yanıtına daha fazla öznitelik geçirilmesini bekler. Bu öznitelikler de önceden doldurulur, ancak gereksinimlerinize göre bunları gözden geçirebilirsiniz.

    Name Kaynak özniteliği
    Üyesi Kullanıcı. gruplar
  10. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML imzalama sertifikası bölümünde, Federasyon meta verileri XML 'i bulun ve sertifikayı indirip bilgisayarınıza kaydetmek için İndir ' i seçin.

    Sertifika indirme bağlantısı

  11. AWS ClientVPN ayarla bölümünde, gereksiniminize göre uygun URL 'leri kopyalayın.

    Yapılandırma URL 'Lerini Kopyala

Azure AD test kullanıcısı oluşturma

Bu bölümde, B. Simon adlı Azure portal bir test kullanıcısı oluşturacaksınız.

  1. Azure portal sol bölmeden Azure Active Directory' i seçin, kullanıcılar' ı seçin ve ardından tüm kullanıcılar' ı seçin.
  2. Ekranın üst kısmındaki Yeni Kullanıcı ' yı seçin.
  3. Kullanıcı özellikleri ' nde şu adımları izleyin:
    1. Ad alanına B.Simon girin.
    2. Kullanıcı adı alanına, girin username@companydomain.extension . Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından parola kutusunda görüntülenen değeri yazın.
    4. Oluştur’a tıklayın.

Azure AD test kullanıcısını atama

Bu bölümde, AWS ClientVPN 'e erişim vererek Azure çoklu oturum açma özelliğini kullanmak için B. Simon 'u etkinleştireceksiniz.

  1. Azure portal Enterprise uygulamalar' ı seçin ve ardından tüm uygulamalar' ı seçin.
  2. Uygulamalar listesinde AWS ClientVPN' yi seçin.
  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar' ı seçin.
  4. Kullanıcı Ekle' yi seçin, sonra atama Ekle iletişim kutusunda Kullanıcılar ve gruplar ' ı seçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, kullanıcılar listesinden B. Simon ' ı seçin ve ardından ekranın alt kısmındaki Seç düğmesine tıklayın.
  6. Kullanıcılara bir rolün atanmasını bekliyorsanız, Rol Seç açılır listesinden bunu seçebilirsiniz. Bu uygulama için ayarlanmış bir rol yoksa, "varsayılan erişim" rolü seçili olduğunu görürsünüz.
  7. Atama Ekle Iletişim kutusunda ata düğmesine tıklayın.

AWS ClientVPN SSO 'yu yapılandırma

AWS Istemci VPN tarafında çoklu oturum açmayı yapılandırmak için bağlantıda verilen yönergeleri izleyin.

AWS ClientVPN test kullanıcısı oluştur

Bu bölümde, AWS ClientVPN 'de Britta Simon adlı bir Kullanıcı oluşturulur. AWS ClientVPN, varsayılan olarak etkinleştirilen tam zamanında Kullanıcı sağlamayı destekler. Bu bölümde sizin için herhangi bir eylem öğesi yok. AWS ClientVPN 'de zaten bir kullanıcı yoksa, kimlik doğrulamasından sonra yeni bir tane oluşturulur.

Test SSO 'SU

Bu bölümde, Azure AD çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edersiniz.

  • Azure portal içinde Bu uygulamayı test et ' e tıklayın. Bu, oturum açma akışını başlatabileceğiniz AWS ClientVPN oturum açma URL 'sine yeniden yönlendirilir.

  • AWS ClientVPN oturum açma URL 'sine doğrudan gidin ve oturum akışını buradan başlatın.

  • Microsoft My Apps ' i kullanabilirsiniz. Uygulamalarım içindeki AWS ClientVPN kutucuğuna tıkladığınızda bu, AWS ClientVPN oturum açma URL 'sine yeniden yönlendirilir. Uygulamalarım hakkında daha fazla bilgi için bkz. uygulamalarıma giriş.

Sonraki adımlar

AWS ClientVPN 'yi yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak ayıklanmasını ve zaman korumasını koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi koşullu erişimden genişletiliyor. Microsoft Cloud App Security ile oturum denetimini nasıl zorlayacağınızı öğrenin.