• 可以在 Azure AD 中控制谁有权访问 Amazon Web Services (AWS)
• 可以让用户使用其 Azure AD 帐户自动登录到 Amazon Web Services (AWS)（单一登录）
• 可以在一个中心位置（即 Azure 门户）中管理帐户

如果要了解有关 SaaS 应用与 Azure AD 集成的更多详细信息，请参阅 Azure Active Directory 的应用程序访问与单一登录是什么。

先决条件

若要配置 Azure AD 与 Amazon Web Services (AWS) 的集成，需要具有以下项：

• 一个 Azure AD 订阅
• 启用了 Amazon Web Services (AWS) 单一登录的订阅

测试本教程中的步骤应遵循以下建议：

• 不应使用生产环境，除非有此必要。
• 如果没有 Azure AD 试用环境，可以在此处获取一个月的试用版。

方案描述

在本教程中，将在测试环境中测试 Azure AD 单一登录。 本教程中概述的方案包括两个主要构建基块：

1. 从库中添加 Amazon Web Services (AWS)
2. 配置和测试 Azure AD 单一登录

从库中添加 Amazon Web Services (AWS)

要配置 Amazon Web Services (AWS) 与 Azure AD 的集成，需要从库将 Amazon Web Services (AWS) 添加到托管 SaaS 应用列表。

若要从库中添加 Amazon Web Services (AWS)，请执行以下步骤：

1. 在 Azure 门户的左侧导航面板中，单击“Azure Active Directory”图标。

   

2. 导航到“企业应用程序”。 然后转到“所有应用程序”。

   

3. 单击对话框顶部的“添加”按钮。

   

4. 在搜索框中，键入 Amazon Web Services (AWS)。

   

5. 在结果窗格中，选择“Amazon Web Services (AWS)”，并单击“添加”以添加该应用程序。

   

配置和测试 Azure AD 单一登录

在本部分中，将基于名为“Britta Simon”的测试用户配置并测试 Amazon Web Services (AWS) 的 Azure AD 单一登录。

若要运行单一登录，Azure AD 需要知道与 Azure AD 用户相对应的 Amazon Web Services (AWS) 用户。 换句话说，需在 Azure AD 用户与 Amazon Web Services (AWS) 中的相关用户间建立链接关系。

可以通过将 Azure AD 中的“用户名”值分配为 Amazon Web Services (AWS) 中“用户名”的值来建立此链接关系。

若要配置并测试 Amazon Web Services (AWS) 的 Azure AD 单一登录，需要完成以下构建基块：

1. 配置 Azure AD 单一登录 – 让用户使用此功能。
2. 创建 Azure AD 测试用户 – 使用 Britta Simon 测试 Azure AD 单一登录。
3. 创建 Amazon Web Services 测试用户 – 在 Amazon Web Services (AWS) 中创建 Britta Simon 的对应用户，并将其链接到该用户的 Azure AD 表示形式。
4. 分配 Azure AD 测试用户 – 让 Britta Simon 使用 Azure AD 单一登录。
5. 测试单一登录 – 验证配置是否正常工作。

配置 Azure AD 单一登录

在本部分中，会在 Azure 门户中启用 Azure AD 单一登录并在 Amazon Web Services (AWS) 应用程序中配置单一登录。

若要配置 Amazon Web Services (AWS) 的 Azure AD 单一登录，请执行以下步骤：

1. 在 Azure 门户中，在 Amazon Web Services (AWS) 应用程序集成页上，单击“单一登录”。

   

2. 在“单一登录”对话框中，选择“基于 SAML 的登录”作为“模式”以启用单一登录。

   

3. 在“Amazon Web Services (AWS) 域和 URL”部分中，用户不必执行任何步骤，因为该应用已经与 Azure 预先集成。

   

4. 在“SAML 签名证书”部分中，单击“元数据 XML”，并在计算机上保存 XML 文件。

   

5. Amazon Web Services (AWS) Software 应用程序需要采用特定格式的 SAML 断言。 请为此应用程序配置以下声明。 可以在应用程序集成页的“用户属性”部分管理这些属性的值。 以下屏幕截图显示一个示例。

   

6. 在“单一登录”对话框的“用户属性”部分中，按上图所示配置 SAML 令牌属性，并执行以下步骤：
   

   属性名称	属性值	命名空间
   RoleSessionName	user.userprincipalname	https://aws.amazon.com/SAML/Attributes
   角色	user.assignedroles	https://aws.amazon.com/SAML/Attributes

   提示

   需要在 Azure AD 中配置用户预配以从 AWS 控制台中提取所有角色。 请参阅下文中的预配步骤。

   a. 单击“添加属性”，打开“添加属性”对话框。

   

   b.保留“数据库类型”设置，即设置为“共享”。 在“名称”文本框中，键入为该行显示的属性名称。

   

   c. 在“值”列表中，选择为该行显示的属性值。 根据上文中的指定添加 Namespace 值。

   d. 单击“确定” 。

7. 单击“保存”按钮在 Azure 中保存设置。

   

8. 在其他浏览器窗口中，以管理员身份登录 Amazon Web Services (AWS) 公司站点。
9. 单击“控制台主页”。

   

10. 从安全性、标识和合规性服务中单击“IAM”。

    

11. 单击“标识提供者”，并单击“创建提供者”。

    

12. 在“配置提供者”对话框页上，执行以下步骤：

    

    a. 对于“提供者类型”，请选择“SAML”。

    b. 在“提供者名称”文本框中，键入提供者名称（例如：WAAD）。

    c. 若要上传下载的元数据文件，请单击“选择文件”。

    d. 单击“下一步”。

13. 在“验证提供者信息”对话框页上，单击“创建”。

    

14. 单击“角色”，并单击“创建新角色”。

    

15. 在“设置角色名称”对话框中，执行以下步骤：

    

    a. 在“角色名称”文本框中，键入角色名称（例如：TestUser）。

    b. 单击“下一步”。

16. 在“选择角色类型”对话框中，执行以下步骤：

    

    a. 选择“标识提供者角色的访问权限”。

    b. 在授予 SAML 提供程序的 Web 单一访问 (WebSSO) 访问权限部分中，单击“选择”。

17. 在“建立信任”对话框中，执行以下步骤：

    

    a. 对于 SAML 提供者，选择之前创建的 SAML 提供者（例如：WAAD）

    b. 单击“下一步”。

18. 在“验证角色信任”对话框中，单击“下一步”。

    

19. 在“附加策略”对话框中，单击“下一步”。

    

20. 在“审阅”对话框中，执行以下步骤：

    

    a. 单击“创建角色”。

    b. 创建所需数量的角色，并将其映射到标识提供者。

21. 现在，配置用户预配以从 AWS 中提取所有角色

    a. 在 AWS 控制台中，使用根帐户进行登录

    b. 在右上角，单击你的姓名，并单击“我的安全凭据”选项。 这会打开一个屏幕，其中显示了警告消息。 单击“安全凭据”按钮以通过该屏幕。

    

    

    c. 在“访问密钥”部分中，单击“新建访问密钥”按钮。 这会生成访问密钥 ID 和令牌值。

    

    d. 复制这些值并下载它们，以免丢失它们。

    e. 在 Azure 门户中，在 Amazon Web Services (AWS) 应用程序集成页上，单击“预配”。

    

    f. 将预配模式设置为“自动”

    

    g. 现在，在“clientsecret”和“密钥标记”中，粘贴已从 AWS 控制台复制的相应值。

    h. 可以单击“测试连接”按钮来测试连接。 在成功后，可以启动预配连接器。

    

    i. 现在，将预配状态启用为“开启”。 这会开始从应用程序提取角色。

    

    备注

    Azure AD 预配服务每隔一段时间会运行一次来从 AWS 同步角色。 应当会看到所有标识提供者都已将 AWS 角色附加到 Azure AD 中，并且在将应用程序分配给用户或组时可以使用这些角色。

创建 Azure AD 测试用户

本部分的目的是在 Azure 门户中创建名为 Britta Simon 的测试用户。

若要在 Azure AD 中创建测试用户，请执行以下步骤：

1. 在 Azure 门户的左侧导航窗格中，单击“Azure Active Directory”图标。

   

2. 转到“用户和组”，单击“所有用户”显示用户列表。

   

3. 在对话框顶部单击“添加”，打开“用户”对话框。

   

4. 在“用户”对话框页上，执行以下步骤：

   

   a. 在“名称”文本框中，键入 BrittaSimon。

   b.保留“数据库类型”设置，即设置为“共享”。 在“用户名”文本框中，键入 BrittaSimon 的“电子邮件地址”。

   c. 选择“显示密码”并记下“密码”的值。

   d.单击“下一步”。 单击“创建” 。

创建 Amazon Web Services 测试用户

为了使 Azure AD 用户能够登录到 Amazon Web Services (AWS)，必须将其预配到 Amazon Web Services (AWS) 中。 对于 Amazon Web Services (AWS)，预配任务需要手动完成。

若要预配用户帐户，请执行以下步骤：

1. 以管理员身份登录 Amazon Web Services (AWS) 公司站点。
2. 单击“控制台主页”图标。

   

3. 单击“标识和访问管理”。

   

4. 在仪表板中，单击“用户”，并单击“创建新用户”。

   

5. 在“创建用户”对话框页上，执行以下步骤：

   

   a. 在“输入用户名称”文本框中，键入 Brita Simon 在 Azure AD 中的用户名 (userprincipalname)。

   b. 单击“创建”。

分配 Azure AD 测试用户

在本部分中，将通过向 Britta Simon 授予对 Amazon Web Services (AWS) 的访问权限使她能够使用 Azure 单一登录。

要将 Britta Simon 分配到 Amazon Web Services (AWS)，请执行以下步骤：

1. 在 Azure 门户中打开应用程序视图，导航到目录视图，接着转到“企业应用程序”，并单击“所有应用程序”。

   

2. 在应用程序列表中，选择“Amazon Web Services (AWS)”。

   

3. 在左侧菜单中，单击“用户和组”。

   

4. 单击“添加”按钮。 然后在“添加分配”对话框中选择“用户和组”。

   

5. 在“用户和组”对话框的“用户”列表中，选择“Britta Simon”。
6. 在“用户和组”对话框中单击“选择”按钮。
7. 在“选择角色”选项卡上，为用户选择合适的角色。 所有这些角色都显示有角色名称和标识提供者名称。 因此，可以轻松识别来自 AWS 的角色。
8. 在“添加分配”对话框中单击“分配”按钮。

测试单一登录

在本部分中，使用访问面板测试 Azure AD 单一登录配置。

在访问面板中单击“Amazon Web Services (AWS)”磁贴时，应该会自动登录 Amazon Web Services (AWS) 应用程序。

其他资源

• 有关如何将 SaaS 应用与 Azure Active Directory 集成的教程列表
• Azure Active Directory 的应用程序访问与单一登录是什么？

教程：Azure Active Directory 与 Amazon Web Services (AWS) 集成，首发于服务器安全维护工作室。

ELB(Elastic Load Balancer)

Amazon ELB(Elastic Load Balancer)，是AWS提供的弹性负载均衡器，可根据实际情况为外部访问分配最合适的服务器。在实际使用过程中，会需要对经由ELB的客户端访问加以限制，本文将介绍如何通过配置EC2实例来实现对此类客户端的限制访问。

如图所示，由于ELB不属于安全组，所以对于安全组实施限制并不会对ELB生效，经由ELB的客户端访问依然可以抵达EC2。

然而倘若限制ELB访问EC2，ELB对EC2发出HealthCheck（健康检查）动作时，ELB将无法访问成功检查，而判断该EC2出现异常情况。所以只有通过在EC2实例上的Web服务器上配置访问限制，才能对经由ELB的客户端访问加以限制。

可是在对访问的客户端实施限制时，由于访问全部经由ELB，则检知的访问IP均为ELB的IP，此时需要借助XFF头（X-Forwarded-For）实施确认和限制。

举例说明

1.只允许地址为172.24.40.83的IP访问该网站。

编辑网站配置文件，添加或修改配置文件如下：

SetEnvIf X-Forwarded-For "172.24.40.83" allow_ip
Order deny,allow
Deny  from all
Allow from env=allow_ip

2.拒绝地址为172.24.40.83和17224.40.84的IP访问该网站。

编辑网站配置文件,添加或修改配置文件如下：

SetEnvIf X-Forwarded-For "172.24.40.83" deny_ip01
SetEnvIf X-Forwarded-For "172.24.40.84" deny_ip02
Order allow,deny
Allow from all
Deny  from env=allow_ip01
Deny  from env=allow_ip02

X-Forwarded-For的功能是在ELB接受客户端的请求后，分配到EC2时在数据包的尾部添加上真正客户端的IP地址。

采用Apache的Web服务器，通过mod_extract_forwarded的安装和配置，可以将客户端的IP修改成X-Forwarded-For，具体的方法目前还有待研究。

# yum install mod_extract_forwarded

负载均衡器分配方式简介

ELB弹性负载均衡器是一款比较简单易用的负载均衡器，其采用Round Robin方式平均的将外部访问分配到ELB管理下的EC2实例中，保障实例群在大访问量下最好的分配使用系统资源。

此外，常见的高性能的负载均衡器，一般含有：Least Connections，Observed，Dynamic Ratio，Round Robin，Ratio，Fastest，Predictive等等。由于ELB只提供Round Robin功能所以说是简单的，通过万维网只几步就可以拥有负载均衡器,因此说它又是易用的。

AWS在AMAZON ELB环境下限制客户端的访问配置，首发于服务器安全维护工作室。