Anmelden  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützungssymbol
miniOrange E-Mail-Support
Erfolg

Vielen Dank für Ihre Anfrage. Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

AWS IAM SSO (Single-Sign-On)

Entfesseln Sie die Kraft von miniOrange's AWS IAM SSO (Single-Sign-On) Lösung, die den Benutzerzugriff auf AWS-Konten und -Anwendungen revolutioniert. Melden Sie sich nahtlos mit einem einzigen Satz Anmeldeinformationen an, was die Sicherheit und den Komfort verbessert. Optimieren Sie Bereitstellung und Debereitstellung von Rollen, Zuweisungen und Vertrauenskonfigurationen über mehrere AWS-Konten hinweg. Erleben Sie mühelosen Zugriff auf AWS-Konten und zugewiesene Rollen und gewährleisten Sie gleichzeitig ein einheitliches Anmeldeerlebnis für IAM Identity Center-fähige Anwendungen. Vereinfachen Sie die Zugriffsverwaltung und erhöhen Sie die Sicherheit mit miniOranges robustem AWS IAM SSO-Lösung.


Vorteile der Verwendung von AWS IAM SSO-Integration:

AWS IAM SSO (Single-Sign-On) erleichtert AWS-Administratoren die Einrichtung von Rollen und die Zuweisung von Zugriffsrechten über mehrere AWS-Konten hinweg. Kunden können AWS IAM Verbinden Sie miniOrange mit SSO, richten Sie mehrere vertrauenswürdige IDPs einmalig mit AWS ein und verwalten Sie anschließend den Zugriff auf AWS zentral. Für einzelne Konten sind keine zusätzlichen Einstellungen erforderlich. AWS IAM SSO funktioniert in Verbindung mit AWS.



Kostenlose Installationshilfe


miniOrange bietet kostenlose Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zur Installation oder Einrichtung von AWS IAM SSO-Lösung in Ihrer Umgebung mit 30-Tage kostenlose Testversion.

Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen Termin zu buchen und wir helfen Ihnen umgehend.



miniOrange-System für AWS Single Sign-On oder AWS IAM SSO für Ihr Konto unterstützt die folgenden Abläufe:

  • Vom SP (Service Provider) initiiertes Single Sign-On (SSO)

    • In diesem Ablauf versucht der Benutzer, sich direkt beim Dienstanbieter (AWS-Konto) anzumelden. Die Anforderung wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Nach erfolgreicher Authentifizierung durch den Identitätsanbieter erhält der Benutzer Zugriff auf die Anwendung (AWS-Konto).


  • Vom IdP (Identity Provider) initiiertes Single Sign-On (SSO)

    • In diesem Ablauf meldet sich der Benutzer mit seinen Anmeldeinformationen beim Identitätsanbieter an. Jetzt kann der Benutzer über das Dashboard des Identitätsanbieters auf alle konfigurierten Dienstanbieter (AWS-Konto usw.) zugreifen, ohne die Anmeldeinformationen erneut eingeben zu müssen.

Mit externer Benutzerquelle verbinden


miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, OpenLDAP, AWS usw.), Identitätsanbieter (wie Microsoft Entra ID, Okta, AWS) und viele mehr. Sie können Ihren bestehenden Verzeichnis-/Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.



Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für AWS IAM Einmaliges Anmelden (SSO)

1. AWS konfigurieren IAM in miniOrange

  • Melden Sie sich bei miniOrange an Admin-Konsole.
  • Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .
    • AWS IAM Single Sign-On (SSO) App hinzufügen

  • In Wählen Sie AnwendungstypWählen SAML/WS-FED von dem Alle Apps Dropdown-Liste.
    • AWS IAM Single Sign-On (SSO) – App-Typ auswählen

  • Suchen Sie nach AWS IAM in der Liste, wenn Sie AWS nicht finden IAM Suchen Sie dann in der Liste nach Original und Sie können Ihre Anwendung einrichten in Benutzerdefinierte SAML-App.
    • AWS IAM Single Sign-On (SSO) zur Verwaltung von Apps

  • Erleben Sie das Einfache. SP-Entitäts-ID oder Aussteller aus den Metadaten (https://signin.aws.amazon.com/static/saml-metadata.xml). Sie finden den Wert in der ersten Zeile unter entityID. Er ist auf urn:amazon:webservices kann jedoch für Regionen außerhalb der USA variieren.
  • Stellen Sie sicher, dass die ACS-URL ist: https://signin.aws.amazon.com/saml.
    Dies kann für Regionen außerhalb der USA abweichen. In diesem Fall finden Sie es in den Metadaten (https://signin.aws.amazon.com/static/saml-metadata.xml) als Location-Attribut von AssertionConsumerService.
  • Klicken Sie auf Erweiterte Einstellungen anzeigenWählen Sie unter Relay State Benutzerdefinierter Attributwert & eingeben https://console.aws.amazon.com.
  • Ermöglichen RelayState überschreiben.
    • Amazon Web Services (AWS) IAM Single Sign-On-Konfigurationsschritte

  • Je nachdem, wohin Sie den Benutzer nach SSO weiterleiten möchten, können Sie einen anderen Wert für den Relay-Status festlegen.
  • Gehen Sie zu „Richtlinie hinzufügen“ und wählen Sie „DEFAULT“ aus der Dropdown-Liste „Gruppenname“ aus.
  • Geben Sie nun die AWS IAM im Feld „Richtlinienname“.
  • Wählen Sie PASSWORT aus der Dropdown-Liste „Typ des ersten Faktors“ aus.
  • Klicken Sie auf Gespeichert Schaltfläche zum Konfigurieren AWS IAM.
    • Amazon Web Services (AWS) IAM SSO-Hinzufügungsrichtlinie

  • Klicken Sie auf Gespeichert um AWS zu konfigurieren IAM.
  • Sobald die App hinzugefügt wurde, klicken Sie auf das Metadaten Link, laden Sie die Metadatendatei herunter und speichern Sie sie zur späteren Verwendung.
    • Amazon Web Services (AWS) IAM SSO-Klick-Metadatenlink

  • Behalten SAML-Anmelde-URL, SAML-Abmelde-URL und klicken Sie auf Zertifikat herunterladen Schaltfläche, die Sie für die weitere Verwendung benötigen.

    • Amazon Web Services (AWS) IAM Details der SSO-Konfigurationsmetadaten


2. Konfigurieren Sie SSO in Amazon Web Services (AWS) IAM

  • Loggen Sie sich Amazon Web Services (AWS)-Konsole als Administrator.
  • Klicken Sie auf Leistungen Tab. Unter Sicherheit, Identität und Compliance Klicken Sie auf IAM (Identitäts- und Zugriffsverwaltung).
    • Amazon Web Services (AWS) SSO auswählen IAM

  • Klicken Sie in der Liste auf der linken Seite auf Identitätsanbieter und dann auf klicken Anbieter erstellen Schaltfläche im rechten Bereich.
Amazon Web Services (AWS) IAM SSO: Klicken Sie auf „Anbieter erstellen“.

3. Anbieter in Amazon Web Services (AWS) konfigurieren

  • Im Anbieter konfigurierenWählen Sie SAML als Anbietertyp aus der Dropdown-Liste aus.
  • Geben Sie einen beliebigen Anbieternamen ein (z. B. miniOrange).
  • Klicken Sie auf Wählen Sie Datei und wählen Sie eine Metadatendatei aus, die Sie bereits in Schritt 1 heruntergeladen haben. Klicken Sie dann auf Nächster Schritt.
    • Amazon Web Services (AWS) IAM SSO-Konfigurationsanbieter

  • Im nächsten Bildschirm werden Ihnen Ihre eingegebenen Anbieterinformationen angezeigt. Überprüfen Sie es und klicken Sie auf Kreation Taste. Der SAML-Anbieter wird erstellt und sollte in der Anbietertabelle aufgeführt werden.
    • Amazon Web Services (AWS) IAM SSO SAML-Anbieter erstellt

  • Klicken Sie nun auf Rollen aus der Liste auf der linken Seite und klicken Sie dann auf Rolle erstellen .
  • Im Rolle erstellen Abschnitt, klicken Sie auf SAML 2.0-Verbund Tab.
  • Der Wählen Sie SAML 2.0-AnbieterWählen Sie die SAML-Anbieter die Sie zuvor erstellt haben, z. B. miniOrange.
    • SSO für AWS IAM Wählen Sie Ihren SAML-Anbieter

  • Danach wählen Sie Nur programmgesteuerten Zugriff zulassen Radio-Option.
  • Auswählen SAML:aud Option von der Attribut Dropdown-Liste.
  • Geben Sie den Wert ein als https://signin.aws.amazon.com/saml.
  • Klicken Sie dann auf Weiter: Berechtigungen .
  • Überprüfen Sie den Richtliniennamen AmazonEC2ReadOnlyAccess und klicken Sie auf Weiter: Tags .
    • Amazon Web Services – AWS IAM Name der SSO-Prüfrichtlinie

  • Überspringen Sie dann Schritt Tags hinzufügen (optional) durch Klicken auf Weiter: Vorschau .
  • Geben Sie im nächsten Schritt ein Rollenname und klicken Sie auf Rolle erstellen .
    • Amazon Web Services – AWS IAM SSO-Rolle erstellen

  • Klicken Sie auf den Namen Ihrer erstellten Rolle.
  • Klicken Sie im Abschnitt „Zusammenfassung“ auf die Registerkarte „Vertrauenswürdige Beziehung“ und kopieren Sie sie Rolle ARN und Wert vertrauenswürdiger Entitäten.
  • Behalten Sie die Werte im durch Kommas getrennten Format bei sich. Zum Beispiel- [arn:aws:iam::656620318436:role/SSORole,arn:aws:iam::656620318436:saml-provider/miniOrange]
    • Amazon Web Services – AWS IAM SSO-Rolleneinstellungen im kommagetrennten Format

4. Attribute für AWS hinzufügen

  • Melden Sie sich bei miniOrange an Admin-Konsole.
  • Navigieren Sie dann zu Apps >> Apps verwalten.
  • Konfigurieren Sie die Anwendung, die Sie hinzugefügt haben.
  • Scrollen Sie nach unten zum Attribute Geben Sie den Wert ein. https://aws.amazon.com/SAML/Attributes/RoleSessionName
    in England, Attributname Feld und wählen Sie E-Mail Adresse von dem Attributwert Liste.
  • Klicken Sie auf '+' Symbol daneben Attribute hinzufügen um einen weiteren Satz von Attributen hinzuzufügen und
    Geben Sie den Wert ein https://aws.amazon.com/SAML/Attributes/Role
    in England, Attributname Feld auswählen Benutzerdefinierter Attributwert von dem Attributwert und geben Sie im Feld „Benutzerdefinierter Attributwert“ den durch Kommas getrennten Wert ein, der in Schritt 3 erstellt wurde, z. B. [arn:aws:iam::656620318436:role/SSORole,arn:aws:iam::656620318436:saml-provider/miniOrange].
    • AWS IAM SSO-Attribute hinzufügen

  • Wenn Sie mehr als eine Rolle konfiguriert haben, können Sie für diese zusätzliche Attribute eingeben.

5. SSO-Konfiguration testen

Testen Sie die SSO-Anmeldung bei Ihrem AWS IAM Konto bei miniOrange IdP:

    Verwenden der SP-initiierten Anmeldung

    • Gehen Sie zu Ihrem AWS IAM URL, hier werden Sie entweder aufgefordert, den Benutzernamen einzugeben oder auf den SSO-Link zu klicken, der Sie zur Anmeldeseite von miniOrange IdP weiterleitet.
      • AWS IAM Single Sign-On (SSO)-Anmeldung

    • Geben Sie Ihre miniOrange-Anmeldedaten ein und klicken Sie auf Anmelden. Sie werden automatisch bei Ihrem AWS-Konto angemeldet. IAM Konto.

    Verwenden der IDP-initiierten Anmeldung

    • Melden Sie sich mit Ihren Anmeldeinformationen bei miniOrange IdP an.
      • AWS IAM Einmaliges Anmelden (SSO)

    • Klicken Sie im Dashboard auf AWS IAM Anwendung, die Sie hinzugefügt haben, um die SSO-Konfiguration zu überprüfen.
      • AWS IAM Single Sign-On (SSO) zur Verwaltung von Apps


    Sie können SSO nicht konfigurieren oder testen?


    Kontaktieren Sie uns oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.




6. Konfigurieren Sie Ihr Benutzerverzeichnis (optional)

miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.



1. Benutzer in miniOrange erstellen

  • Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.
    • AWS IAM: Benutzer in miniOrange hinzufügen

  • Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .
    • AWS IAM: Benutzerdetails hinzufügen

  • Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.
    • AWS IAM: Benutzerdetails hinzufügen

  • Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Bewerben .
    • AWS IAM: E-Mail-Aktion auswählen

  • Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
  • Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .
    • AWS IAM: Benutzerkennwort zurücksetzen
  • Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.

2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.

  • Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .
    • AWS IAM: Benutzer per Massenupload hinzufügen

  • Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.
    • AWS IAM: Beispiel-CSV-Datei herunterladen

  • Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.
    • AWS IAM: Massenupload von Benutzern

  • Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
  • Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.
  • Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards
    • AWS IAM : AD als externes Verzeichnis konfigurieren

  • Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.
    • AWS IAM : Wählen Sie den Verzeichnistyp als AD/LDAP

  • Dann suchen Sie nach AD/LDAP und klicke es an.
    • AWS IAM : Wählen Sie den Verzeichnistyp als AD/LDAP

  • LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
  • SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.
    • AWS IAM : Wählen Sie den AD/LDAP-Benutzerspeichertyp

  • AD/LDAP eingeben Display Name und Identifizieren Namen.
  • Auswählen Verzeichnistyp as Active Directory.
  • Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
  • Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.
    • AWS IAM : Konfigurieren Sie die URL-Verbindung zum LDAP-Server

  • Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.
    • AWS IAM : Konfigurieren Sie den Domänennamen des Benutzerbindungskontos

  • Geben Sie das gültige Kennwort für das Bind-Konto ein.
  • Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
    • AWS IAM : Überprüfen Sie die Anmeldeinformationen des Bind-Kontos

  • Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.
    • AWS IAM : Konfigurieren Sie die Benutzersuchbasis

  • Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.
    • AWS IAM : Benutzersuchfilter auswählen

  • Klicken Sie auf Nächster oder gehen Sie zum Anmeldeoptionen Tab.
  • Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Nächster Schaltfläche, um einen Benutzerspeicher hinzuzufügen.
    • AWS IAM : LDAP Optionen aktivieren

    Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

    Attribut Beschreibung
    Aktivieren Sie LDAP Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
    Fallback-Authentifizierung Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
    Administratoranmeldung aktivieren Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
    Benutzern IdP anzeigen Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
    Benutzer in miniOrange synchronisieren Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt


  • Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.

Attributzuordnung aus AD

  • Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

    An SP gesendeter Attributname = Organisation
    Attributname vom IDP = Unternehmen

    • AWS IAM : Aktivieren Sie das Senden konfigurierter Attribute

    AWS IAM : Attributzuordnung aus AD

  • Klicken Sie auf Nächster oder gehen Sie zum Provisioning Tab.

Benutzerimport und Provisionierung aus AD

  • Wenn Sie die Bereitstellung einrichten möchten, hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.
    • AWS IAM : Bereitstellung vorerst überspringen

Testverbindungen

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.
    • AWS IAM : AD/Ldap-Verbindung testen

  • Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.
    • AWS IAM : Geben Sie Benutzernamen und Passwort ein, um die LDAP-Verbindung zu testen

  • On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.
    • AWS IAM : Erfolgreiche Verbindung mit LDAP-Server

Testen Sie die Attributzuordnung

  • Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.
    • AWS IAM : Klicken Sie in den externen Verzeichnissen auf Auswählen und dann auf Attributzuordnung testen

  • Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.
    • AWS IAM : Geben Sie den Benutzernamen ein, um die Attributzuordnungskonfiguration zu testen

  • Das Ergebnis der Testattributzuordnung wird angezeigt.
    • AWS IAM : Abrufen zugeordneter Attribute für Benutzer

Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.


Hinweis: Verweisen Sie auf unsere Guide um LDAP auf einem Windows-Server einzurichten.

miniOrange lässt sich in verschiedene externe Benutzerquellen wie Verzeichnisse, Identitätsanbieter usw. integrieren.

Sie können Ihren IdP nicht finden oder benötigen Hilfe bei der Einrichtung?


Kontaktieren Sie uns oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.



7. Adaptive Authentifizierung mit AWS IAM

A. Einschränken des Zugriffs auf AWS IAM mit IP-Konfiguration

    Sie können die adaptive Authentifizierung mit AWS verwenden IAM Single Sign-On (SSO) verbessert die Sicherheit und Funktionalität von Single Sign-On. Sie können eine IP-Adresse in einem bestimmten Bereich für SSO zulassen oder je nach Bedarf verweigern und den Benutzer auffordern, seine Authentizität zu bestätigen. Die adaptive Authentifizierung verwaltet die Benutzerauthentifizierung anhand verschiedener Faktoren wie Geräte-ID, Standort, Zugriffszeit, IP-Adresse und vielem mehr.

    Sie können die adaptive Authentifizierung mit IP-Blockierung folgendermaßen konfigurieren:

  • Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.
    • AWS IAM Single Sign-On (SSO) – Richtlinie zur adaptiven Zugriffseinschränkung

  • Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
  • Auswählen Maßnahmen zur Verhaltensänderung, drücke den Bearbeiten Link, und wählen Sie dann die entsprechende Action und Herausforderungstyp für den Benutzer aus diesem Abschnitt.
    • AWS IAM Änderung des Verhaltens der adaptiven Authentifizierung bei der Zugriffseinschränkung bei Single Sign-On (SSO)


    Aktion für Verhaltensänderungsoptionen:


    Attribut Beschreibung
    Erlauben Erlauben Sie Benutzern die Authentifizierung und Nutzung von Diensten, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
    Ablehnen Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
    Herausforderung Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.

    Optionen für den Herausforderungstyp:

    Attribut Beschreibung
    Benutzer zweiter Faktor Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel
    • OTP über SMS
    • Push-Benachrichtigung
    • OTP über E-Mail und viele mehr.
    KBA (Wissensbasierte Authentifizierung) Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn beide Fragen richtig beantwortet wurden, kann der Benutzer fortfahren.
    OTP über alternative E-Mail Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self-Service-Konsole konfiguriert hat. Sobald der Benutzer das richtige OTP angegeben hat, kann er fortfahren.

  • Klicken Sie nun auf Bearbeiten Option von der IP-Konfiguration zum Konfigurieren des benutzerdefinierten IP-Bereichs.
  • Auswählen IP hinzufügen wenn der Benutzer IP Address ist nicht in der konfigurierten Liste.
  • Geben Sie die IP-Adresse an, die Sie auf die Whitelist setzen möchten. Für andere IP-Bereiche als die auf der Whitelist können Sie die oben stehende Einstellung auswählen.
  • Wählen Sie entweder „Zulassen“ oder „Ablehnen“, indem Sie die entsprechende Option aus der Dropdown-Liste auswählen.
  • Wenn ein Benutzer versucht, sich mit der auf der Whitelist stehenden IP-Adresse anzumelden, wird ihm immer der Zugriff gestattet.
  • Wir unterstützen IP-Adressbereiche in drei Formaten, nämlich: IPv4, IPv4 CIDR und IPv6 CIDR. Sie können aus dem Dropdown-Menü auswählen, was für Sie geeignet ist.
  • Sie können mehrere IPs oder IP-Bereiche hinzufügen, indem Sie auf das + IP hinzufügen .
    • AWS IAM Single Sign-On (SSO) Zugriffsbeschränkung Adaptive Authentifizierung IP-Blockierung

  • Sobald die Änderungen vorgenommen wurden, scrollen Sie bis zum Ende und klicken Sie auf Gespeichert.

B. Adaptive Authentifizierung mit begrenzter Anzahl von Geräten

    Mithilfe der adaptiven Authentifizierung können Sie auch die Anzahl der Geräte beschränken, auf denen der Endbenutzer auf die Dienste zugreifen kann. Sie können Endbenutzern den Zugriff auf Dienste auf einer festen Anzahl von Geräten gestatten. Die Endbenutzer können auf dieser festen Anzahl von Geräten auf die von uns bereitgestellten Dienste zugreifen.

    Sie können die adaptive Authentifizierung mit Gerätebeschränkung folgendermaßen konfigurieren

  • Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung >> Richtlinie hinzufügen.
  • Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
  • Wählen Sie Ihre Maßnahmen zur Verhaltensänderung und Herausforderungstyp für Benutzer aus dem Maßnahmen zur Verhaltensänderung Abschnitt.
    • AWS IAM Single Sign-On (SSO) Zugriffsbeschränkung Adaptives Authentifizierungsverhalten und Challenge-Typ

  • Auf dem Richtlinie hinzufügen Registerkarte, gehen Sie zu Gerätekonfiguration Abschnitt und klicken Sie auf die Bearbeiten .
  • Geben Sie die Anzahl der zulässigen Geräteregistrierungen je nach Bedarf. (2–3 Geräte werden empfohlen.)
  • Wählen Action wenn die Anzahl der Geräte überschritten wird (Dies überschreibt Ihre Einstellung für Maßnahmen zur Verhaltensänderung.)
    • Herausforderung: Der Benutzer muss sich mit einer der drei in der Tabelle genannten Methoden verifizieren Schritt 5.1
    • Ablehnen : Benutzern den Zugriff auf das System verweigern
  • Ermöglichen Einschränkung für Mobilgeräte um Anmeldungen von Mobilgeräten zu blockieren. Dadurch wird sichergestellt, dass alle Anmeldeversuche von Mobilgeräten abgelehnt werden.
  • Ermöglichen Einschränkung basierend auf MAC-Adresse wenn Sie den Zugriff basierend auf der MAC-Adresse des Geräts einschränken möchten.
    • AWS IAM Single Sign-On (SSO) Zugriffsbeschränkung Adaptive Authentifizierung Gerätebeschränkung aktivieren

  • Scrollen Sie bis zum Ende der Seite und klicken Sie auf Gespeichert.

C. Fügen Sie AWS eine adaptive Authentifizierungsrichtlinie hinzu IAM

  • Einloggen um Self-Service-Konsole >> Richtlinien >> Anmelderichtlinie hinzufügen.
  • Klicken Sie auf Bearbeiten Symboloption für vordefinierte App-Richtlinien.
    • AWS IAM Single Sign-On (SSO) – Richtlinie zur Geräteeinschränkung bearbeiten

  • Legen Sie Ihre Richtlinie in der Versicherungsname und wählen Sie Passwort als Erster Faktor.
  • Ermöglichen Adaptive Authentifizierung auf der Seite „Anmelderichtlinie bearbeiten“ und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
  • Ab Wählen Sie „Anmelderichtlinie“ Wählen Sie im Dropdown-Menü die Richtlinie aus, die wir im letzten Schritt erstellt haben, und klicken Sie auf „Senden“.
    • AWS IAM Single Sign-On (SSO) Zugriff einschränken Adaptive Authentifizierung aktivieren

    AWS IAM Single Sign-On (SSO) Zugriffsbeschränkung Gerätebeschränkungsrichtlinie einreichen

D. Benachrichtigungs- und Warnmeldung.

    In diesem Abschnitt werden die Benachrichtigungen und Warnungen im Zusammenhang mit der adaptiven Authentifizierung behandelt. Er bietet die folgenden Optionen:

  • Erhalten Sie E-Mail-Benachrichtigungen, wenn sich Benutzer von unbekannten Geräten oder Standorten aus anmelden: Administratoren müssen diese Option aktivieren, um den Empfang von Benachrichtigungen für verschiedene Benachrichtigungsoptionen zu ermöglichen.
    Adaptive Authentifizierung Aktion für Verhalten Konfiguration ändern

    • Option Beschreibung
    Benutzer melden sich von unbekannten IP-Adressen, Geräten oder Standorten aus an Durch Aktivieren dieser Option können Sie sich von unbekannten IP-Adressen oder Geräten und sogar Standorten aus anmelden.
    Anzahl der Geräteregistrierungen hat die zulässige Anzahl überschritten Mit dieser Option können Sie mehr Geräte registrieren, als Sie nummeriert haben.
    Herausforderung abgeschlossen und Gerät registriert Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt und ein Gerät registriert.
    Herausforderung abgeschlossen, aber Gerät nicht registriert Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt, das Gerät jedoch nicht registriert.
    Herausforderung fehlgeschlagen Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer die Herausforderung nicht meistert.


  • Der nächste Unterabschnitt ist E-Mail-Benachrichtigungen senden Damit können wir Warnungen für Administratoren und Endbenutzer aktivieren oder deaktivieren. Um Warnungen für Administratoren zu aktivieren, können Sie die Administratoren Kontrollkästchen.
    • Adaptive Authentifizierung: E-Mail-Benachrichtigungen senden

  • Wenn Sie möchten, dass mehrere Administratorkonten Benachrichtigungen erhalten, können Sie die Option für Administratoren aktivieren und dann die Administrator-E-Mails durch ein ',' getrennt in das Eingabefeld neben eingeben. E-Mail des Administrators zum Empfangen von Benachrichtigungen Bezeichnung. Um Warnungen für Endbenutzer zu aktivieren, können Sie die Endbenutzer Kontrollkästchen.
  • Falls Sie die Ablehnungsnachricht anpassen möchten, die der Endbenutzer erhält, wenn seine Authentifizierung aufgrund einer adaptiven Richtlinie verweigert wird, können Sie dies tun, indem Sie die Nachricht in Nachricht ablehnen Textfeld ein.
    • Adaptive Authentifizierung: Ablehnungsnachricht anpassen

So fügen Sie ein vertrauenswürdiges Gerät hinzu
  • Wenn sich der Endbenutzer nach der Richtlinie für Gerätebeschränkung aktiviert ist, wird ihm die Möglichkeit geboten, das aktuelle Gerät als vertrauenswürdiges Gerät hinzuzufügen.

Problemlösung

Wie kann ich einen SAML-Trace durchführen?

  • Laden Sie die SAML-Tracer-Browsererweiterung herunter.
  • Öffnen Sie das SAML-Tracer-Fenster und führen Sie den vollständigen SSO-Flow aus.
  • Überprüfen Sie das SAML-Tracer-Fenster auf SAML-Anfragen und SAML-Antworten

Fehlerbehebung Häufige Fehler:

1. Ungültige Anfrage (Statuscode: 400):

Amazon Web Services (AWS) SSO – Fehlerbehebung

  • Melden Sie sich beim Miniorange-Administrator-Dashboard an
  • Bearbeiten Sie Ihre AWS-App
  • Erweitern Sie die Erweiterte Einstellungen und prüfen Sie, ob Relaiszustand In der Miniorange-App gespeichert ist eine gültige URL.
  • Ermöglichen Unterschreiben Sie die Behauptung. und Antwort unterzeichnen (optional).
    • Amazon Web Services (AWS) SSO – Fehlerbehebung

2. IDP-Initiiert

  • Deaktivieren RelayState überschreiben

3. Beheben Sie andere häufige Fehler HIER.



Externe Referenzen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren