Windows Server 2016 ADFS - 与 AWS 目录服务集成
Windows Server 2016 ADFS - Integration with AWS Directory Service
我们想对使用 Windows Server 2016 - ADFS(活动目录联合服务)和AWS目录服务。我们在 AWS 账户中使用目录服务创建了一个域。在对 AWS 目录服务执行 成功域加入 后,我尝试使用服务器管理器工具在 Windows Server 2016 EC2 实例上安装和配置 ADFS。 ADFS 配置向导 中的一个屏幕要求输入 域管理员密码。 AWS Directory Service 创建的管理员用户似乎不是域管理员。所以我无法在 Windows EC2 实例上配置 ADFS。
https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/
我想知道是否可以在 AWS Directory Service 中创建 Domain Administrator,其次是否可以使用 AWS Directory Service 实施 ADFS使用 SAML?
从下面的 AWS link,我认为默认 "admin" 用户与域管理员不一样。
任何关于 ADFS 与 AWS Directory Service 集成用于 Web 应用程序的意见都将不胜感激。
注意:我在网上发现 links install/configure Windows ADFS 与 Windows Active Directory 但不是 AWS Directory Service。我发现下面 link 用于将 ADFS 与 IAM 用户的 Active Directory 集成,但对我们帮助不大。
我们有兴趣将我们的 Web 应用程序与 WebSSO 的 ADFS/AWS 目录服务集成。
我得到了答案。出于安全原因,AWS Directory Service 不提供域管理员帐户。 Windows 可以针对 AWS Directory Service 配置 ADFS Server 2016。我们应该使用 Powershell 命令而不是向导来配置 ADFS 服务器,因为向导要求域管理员帐户。
这些是步骤:
- 要用随附代码中的值替换的 GUID 和证书 ThumbprintID 参数
- 建议使用默认 AWS 管理的 Microsoft AD 管理员帐户 "NetBIOSname\Admin" 运行 以下所有 PowerShell 命令
- 您可以创建域用户作为 ADFS 服务帐户并将其用于 $svcCred 凭据变量
- 您可以将 AWS 管理的 Microsoft AD 管理员用户用于 $localAdminCred 凭证变量
下面的代码是 运行 在 Powershell window(运行 作为管理员):
假设活动目录域=corp.example.com
(New-Guid).Guid
New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"
New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"
$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}
$svcCred = (get-credential)
$localAdminCred = (get-credential)
Install-WindowsFeature ADFS-Federation
Install-ADFSFarm -CertificateThumbprint <Thumbprint ID> -FederationServiceName
"YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
$localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig
-SigningCertificateThumbprint <Thumbprint ID>
-DecryptionCertificateThumbprint <Thumbprint ID>
Set-ADFSProperties -EnableIdpInitiatedSignonPage $true
以下 url 对于使用 AWS Directory Service 设置 Windows ADFS 服务器也很有用:
我们想对使用 Windows Server 2016 - ADFS(活动目录联合服务)和AWS目录服务。我们在 AWS 账户中使用目录服务创建了一个域。在对 AWS 目录服务执行 成功域加入 后,我尝试使用服务器管理器工具在 Windows Server 2016 EC2 实例上安装和配置 ADFS。 ADFS 配置向导 中的一个屏幕要求输入 域管理员密码。 AWS Directory Service 创建的管理员用户似乎不是域管理员。所以我无法在 Windows EC2 实例上配置 ADFS。
https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/
我想知道是否可以在 AWS Directory Service 中创建 Domain Administrator,其次是否可以使用 AWS Directory Service 实施 ADFS使用 SAML?
从下面的 AWS link,我认为默认 "admin" 用户与域管理员不一样。
任何关于 ADFS 与 AWS Directory Service 集成用于 Web 应用程序的意见都将不胜感激。
注意:我在网上发现 links install/configure Windows ADFS 与 Windows Active Directory 但不是 AWS Directory Service。我发现下面 link 用于将 ADFS 与 IAM 用户的 Active Directory 集成,但对我们帮助不大。
我们有兴趣将我们的 Web 应用程序与 WebSSO 的 ADFS/AWS 目录服务集成。
我得到了答案。出于安全原因,AWS Directory Service 不提供域管理员帐户。 Windows 可以针对 AWS Directory Service 配置 ADFS Server 2016。我们应该使用 Powershell 命令而不是向导来配置 ADFS 服务器,因为向导要求域管理员帐户。
这些是步骤:
- 要用随附代码中的值替换的 GUID 和证书 ThumbprintID 参数
- 建议使用默认 AWS 管理的 Microsoft AD 管理员帐户 "NetBIOSname\Admin" 运行 以下所有 PowerShell 命令
- 您可以创建域用户作为 ADFS 服务帐户并将其用于 $svcCred 凭据变量
- 您可以将 AWS 管理的 Microsoft AD 管理员用户用于 $localAdminCred 凭证变量
下面的代码是 运行 在 Powershell window(运行 作为管理员):
假设活动目录域=corp.example.com
(New-Guid).Guid
New-ADObject -Name "ADFS" -Type Container -Path "OU=corp,DC=corp,DC=example,DC=com"
New-ADObject -Name "GUID" -Type Container -Path "CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"
$adminConfig = @{"DKMContainerDn"="CN=GUID,CN=ADFS,OU=corp,DC=corp,DC=example,DC=com"}
$svcCred = (get-credential)
$localAdminCred = (get-credential)
Install-WindowsFeature ADFS-Federation
Install-ADFSFarm -CertificateThumbprint <Thumbprint ID> -FederationServiceName
"YourFederationServiceName" -ServiceAccountCredential $svcCred -Credential
$localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig
-SigningCertificateThumbprint <Thumbprint ID>
-DecryptionCertificateThumbprint <Thumbprint ID>
Set-ADFSProperties -EnableIdpInitiatedSignonPage $true
以下 url 对于使用 AWS Directory Service 设置 Windows ADFS 服务器也很有用: