Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá a integrar o ClientVPN do AWS à ID do Microsoft Entra. Ao integrar o AWS ClientVPN ao Microsoft Entra ID, você poderá:
- Você pode controlar, no Microsoft Entra ID, quem tem acesso ao AWS ClientVPN.
- Permitir que os usuários entrem automaticamente no AWS ClientVPN com as contas do Microsoft Entra deles.
- Gerencie suas contas em uma localização central.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
- Uma das seguintes funções:
- Assinatura do AWS ClientVPN habilitada para SSO (logon único).
Descrição do cenário
Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.
O ClientVPN do AWS dá suporte ao SSO iniciado por SP .
O ClientVPN do AWS dá suporte ao provisionamento de usuário just-in-time .
Observação
O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.
Adicionar o AWS ClientVPN por meio da galeria
Para configurar a integração do AWS ClientVPN ao Microsoft Entra ID, você precisa adicionar o AWS ClientVPN da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
- Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar por meio da galeria , digite AWS ClientVPN na caixa de pesquisa.
- Selecione AWS ClientVPN no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para o AWS ClientVPN
Configure e teste o SSO do Microsoft Entra com o ClientVPN da AWS usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no AWS ClientVPN.
Para configurar e testar o SSO do Microsoft Entra com o AWS ClientVPN, execute as seguintes etapas:
-
Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B. Simon.
- Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
-
Configure o SSO do ClientVPN do AWS para definir as configurações de logon único no lado do aplicativo.
- Crie um usuário de teste do AWS ClientVPN para ter uma contraparte de B.Simon no ClientVPN do AWS que esteja vinculado à representação do usuário do Microsoft Entra.
- Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
Navegue até Entra ID>Enterprise apps>AWS ClientVPN>Logon único.
Na página Selecionar um método de logon único , selecione SAML.
Na página Configurar login único com SAML, selecione o ícone de lápis na Configuração Básica do SAML para editar a configuração.
Na seção Configuração Básica do SAML , execute as seguintes etapas:
a. Na caixa de texto URL de Logon , digite uma URL usando o seguinte padrão:
https://<LOCALHOST>b. Na caixa de texto URL de Resposta , digite uma URL usando um dos seguintes padrões:
URL de Resposta http://<LOCALHOST>https://self-service.clientvpn.amazonaws.com/api/auth/sso/samlObservação
Esses valores não são reais. Atualize esses valores com a URL de resposta e a URL de logon propriamente ditas. A URL de logon e a URL de resposta podem ter o mesmo valor (
http://127.0.0.1:35001). Consulte a Documentação de VPN do cliente do AWS para obter detalhes. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML . Entre em contato com a equipe de suporte do ClientVPN da AWS para quaisquer problemas de configuração.O aplicativo AWS ClientVPN espera as declarações SAML em um formato específico, o que exige a adição de mapeamentos de atributo personalizado à configuração dos atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.
Além do indicado acima, o aplicativo ClientVPN do AWS espera que mais alguns atributos sejam passados novamente na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.
Nome Atributo de Origem memberOf grupos do usuário FirstName user.givenname LastName sobrenome do usuário Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação do SAML, localize o XML dos Metadados da Federação e selecione Baixar para baixar o certificado e salve-o no seu computador.
Na seção Certificado de Assinatura SAML, selecione o ícone de edição e altere a opção de assinatura para Assinar a resposta e a declaração SAML. Selecione Salvar.
Na seção Configurar o ClientVPN do AWS , copie as URLs apropriadas de acordo com suas necessidades.
Criar e atribuir um usuário de teste do Microsoft Entra
Siga as diretrizes no quickstart criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.
Configurar o SSO do AWS ClientVPN
Siga as instruções fornecidas no link para configurar o logon único no lado do ClientVPN do AWS.
Criar um usuário de teste do AWS ClientVPN
Nesta seção, um usuário chamado Brenda Fernandes será criado no AWS ClientVPN. O AWS ClientVPN dá suporte ao provisionamento de usuário just-in-time, que está habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se ainda não existir um usuário no AWS ClientVPN, ele será criado após a autenticação.
Testar SSO
Nesta seção, você testará a configuração de logon único do Microsoft Entra com as opções a seguir.
Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do ClientVPN do AWS, na qual você pode iniciar o fluxo de logon.
Acesse a URL de Logon do AWS ClientVPN diretamente e inicie o fluxo de logon nela.
Você pode usar os Meus Aplicativos da Microsoft. Quando você seleciona o bloco clientVPN do AWS em Meus Aplicativos, essa opção redireciona para a URL de Logon do ClientVPN do AWS. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.
Conteúdo relacionado
Depois de configurar o AWS ClientVPN, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do Acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.