Öğretici: AWS ClientVPN ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu öğreticide AWS ClientVPN'i Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. AWS ClientVPN'i Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • AWS ClientVPN'e kimlerin erişimi olduğunu Microsoft Entra Id'de kontrol edin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla AWS ClientVPN'de otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • AWS ClientVPN çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

  • AWS ClientVPN, SP tarafından başlatılan SSO'ları destekler.

  • AWS ClientVPN, Tam Zamanında kullanıcı sağlamayı destekler.

Dekont

Bu uygulamanın tanımlayıcısı sabit bir dize değeridir, bu nedenle tek bir kiracıda yalnızca bir örnek yapılandırılabilir.

AWS ClientVPN'in Microsoft Entra Id ile tümleştirilmesini yapılandırmak için, galerideki AWS ClientVPN'i yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna AWS ClientVPN yazın.
  4. Sonuçlar panelinden AWS ClientVPN'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

AWS ClientVPN için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak AWS ClientVPN ile Microsoft Entra SSO'yi yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile AWS ClientVPN'deki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

MICROSOFT Entra SSO'nun AWS ClientVPN ile yapılandırılmasını ve test edilesini sağlamak için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında çoklu oturum açma ayarlarını yapılandırmak için AWS ClientVPN SSO'sunu yapılandırın.
    1. AWS ClientVPN test kullanıcısı oluşturma - AWS ClientVPN'de B.Simon'ın kullanıcının Microsoft Entra gösterimine bağlı bir karşılığına sahip olmak için.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>AWS ClientVPN>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:

    a. Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<LOCALHOST>

    b. Yanıt URL'si metin kutusuna aşağıdaki desenlerden birini kullanarak bir URL yazın:

    Yanıt URL'si
    http://<LOCALHOST>
    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

    Dekont

    Bu değerler gerçek değildir. Bu değerleri gerçek Oturum Açma URL'si ve Yanıt URL'si ile güncelleştirin. Oturum açma URL'si ve Yanıt URL'si aynı değere (http://127.0.0.1:35001) sahip olabilir. Ayrıntılar için AWS İstemci VPN Belgeleri'ne bakın. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz. Yapılandırma sorunları için AWS ClientVPN destek ekibine başvurun.

  6. Microsoft Entra hizmetinde Uygulama kayıtları gidin ve Tüm Uygulamalar'ı seçin.

  7. Arama kutusuna AWS ClientVPN yazın ve arama panelinden AWS ClientVPN'i seçin.

  8. Bildirim'e tıklayın ve tümleştirmenin çalışmasını sağlamak için Yanıt URL'sini https yerine http olarak tutmanız gerekir, Kaydet'e tıklayın.

    The Screenshot for the manifest page.

  9. AWS ClientVPN uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteç öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    image

  10. Aws ClientVPN uygulaması, yukarıdakilere ek olarak aşağıda gösterilen SAML yanıtında birkaç özniteliğin daha geçirilmesini bekler. Bu öznitelikler de önceden doldurulmuş olsa da gereksinimlerinize göre bunları gözden geçirebilirsiniz.

    Adı Kaynak Özniteliği
    Memberof user.groups
    FirstName user.givenname
    LastName user.surname

  11. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    The Certificate download link

  12. SAML İmzalama Sertifikası bölümünde düzenle simgesine tıklayın ve İmzalama Seçeneğini SAML yanıtını ve onayını İmzala olarak değiştirin. Kaydet'e tıklayın.

    The screenshot for the SAML Signing Certificate page.

  13. AWS ClientVPN'i ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Copy configuration URLs

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur’u seçin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, AWS ClientVPN'e erişim vererek B.Simon'un çoklu oturum açmayı kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>AWS ClientVPN'e göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

AWS ClientVPN SSO'sını yapılandırma

AWS ClientVPN tarafında çoklu oturum açmayı yapılandırmak için bağlantıda verilen yönergeleri izleyin.

AWS ClientVPN test kullanıcısı oluşturma

Bu bölümde, AWS ClientVPN'de Britta Simon adlı bir kullanıcı oluşturulmuştur. AWS ClientVPN, varsayılan olarak etkin olan tam zamanında kullanıcı sağlamayı destekler. Bu bölümde sizin için eylem öğesi yok. AWS ClientVPN'de henüz bir kullanıcı yoksa, kimlik doğrulaması sonrasında yeni bir kullanıcı oluşturulur.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz AWS ClientVPN Oturum Açma URL'sine yönlendirilir.

  • DOĞRUDAN AWS ClientVPN Oturum Açma URL'sine gidin ve buradan oturum açma akışını başlatın.

  • Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım AWS ClientVPN kutucuğuna tıkladığınızda bu, AWS ClientVPN Oturum Açma URL'sine yönlendirilir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

AWS ClientVPN'i yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu tutabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.