Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u hoe u AWS ClientVPN integreert met Microsoft Entra ID. Wanneer u AWS ClientVPN integreert met Microsoft Entra ID, kunt u het volgende doen:
- In Microsoft Entra ID beheren wie toegang heeft tot AWS ClientVPN.
- Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij AWS ClientVPN.
- Beheer uw accounts op één centrale locatie.
Vereisten
In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:
- Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u nog geen account hebt, kunt u gratis een account maken.
- Een van de volgende rollen:
- Een abonnement op AWS ClientVPN met ingeschakeld single sign-on (SSO).
Beschrijving van scenario
In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.
AWS ClientVPN ondersteunt door SP geïnitieerde SSO.
AWS ClientVPN biedt ondersteuning voor Just-In-Time-inrichting van gebruikers.
Notitie
De id van deze toepassing is een vaste tekenreekswaarde zodat maar één exemplaar in één tenant kan worden geconfigureerd.
AWS ClientVPN toevoegen vanuit de galerie
Als u de integratie van AWS ClientVPN in Microsoft Entra ID wilt configureren, moet u AWS ClientVPN vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.
- Meld u als Cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
- Typ in de sectie Toevoegen uit de galerieAWS ClientVPN in het zoekvak.
- Selecteer AWS ClientVPN in het resultatenvenster en voeg vervolgens de app toe. Wacht even terwijl de app aan je tenant wordt toegevoegd.
U kunt ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.
Microsoft Entra SSO voor AWS ClientVPN configureren en testen
Configureer en test Microsoft Entra Single Sign-On met AWS ClientVPN met een testgebruiker genaamd B.Simon. Voor SSO te laten werken, moet u een verbindingsrelatie tot stand brengen tussen een Microsoft Entra-gebruiker en de gerelateerde gebruiker in AWS ClientVPN.
Voer de volgende stappen uit om Microsoft Entra Single Sign-On (SSO) met AWS ClientVPN te configureren en te testen:
-
Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
- Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
- Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
-
Eenmalige aanmelding voor AWS ClientVPN configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
- Testgebruiker voor AWS ClientVPN maken : als u een tegenhanger van B.Simon in AWS ClientVPN wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
- Eenmalige aanmelding testen : om te controleren of de configuratie werkt.
Microsoft Entra SSO configureren
Volg deze stappen om Microsoft Entra SSO in te schakelen.
Meld u als Cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Enterprise-apps>AWS ClientVPN>Eenmalige aanmelding.
Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.
Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.
Voer in de sectie Standaard SAML-configuratie de volgende stappen uit:
een. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon:
https://<LOCALHOST>b. Typ in het tekstvak Antwoord-URL een URL met een van de volgende patronen:
Antwoord-URL http://<LOCALHOST>https://self-service.clientvpn.amazonaws.com/api/auth/sso/samlNotitie
Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke aanmeldings-URL en antwoord-URL. De aanmeldings-URL en antwoord-URL kunnen dezelfde waarde hebben (
http://127.0.0.1:35001). Raadpleeg de VPN-documentatie voor AWS-clients voor meer informatie. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie . Neem contact op met het ondersteuningsteam van AWS ClientVPN voor eventuele configuratieproblemen.In de AWS ClientVPN-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven.
Bovendien verwacht de AWS ClientVPN-toepassing nog enkele kenmerken die als SAML-antwoord moeten worden doorgestuurd. Deze worden hieronder weergegeven. Deze kenmerken worden ook vooraf ingevuld, maar u kunt ze controleren volgens uw vereisten.
Naam Bronkenmerk lid van gebruikersgroepen Voornaam gebruiker.voornaam achternaam gebruiker.achternaam Zoek op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en op uw computer op te slaan.
Selecteer in de sectie SAML-handtekeningcertificaat het bewerkingspictogram en wijzig de ondertekeningsoptie om saml-antwoord en -assertie te ondertekenen. Selecteer Opslaan.
In de sectie AWS ClientVPN instellen kopieert u de juiste URL('s) op basis van uw behoeften.
Microsoft Entra-testgebruiker maken en toewijzen
Volg de richtlijnen in de quickstart voor het maken en toewijzen van een gebruikersaccount om een testgebruikersaccount met de naam B.Simon te maken.
AWS ClientVPN SSO configureren
Volg de instructies in de koppeling om eenmalige aanmelding aan de zijde van AWS ClientVPN te configureren.
Testgebruiker voor AWS ClientVPN maken
In deze sectie wordt een gebruiker met de naam Britta Simon gemaakt in AWS ClientVPN. AWS ClientVPN biedt ondersteuning voor Just-In-Time-inrichting van gebruikers. Deze functie is standaard ingeschakeld. Deze sectie bevat geen actie-item voor u. Als er nog geen gebruiker in AWS ClientVPN bestaat, wordt er na verificatie een nieuwe gemaakt.
SSO testen
In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.
Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van AWS ClientVPN, waar u de aanmeldingsstroom kunt initiëren.
Ga rechtstreeks naar de aanmeldings-URL van AWS ClientVPN en initieer de aanmeldingsstroom daar.
U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel AWS ClientVPN in Mijn apps selecteert, wordt deze optie omgeleid naar de aanmeldings-URL van AWS ClientVPN. Zie Inleiding tot mijn apps voor meer informatie over mijn apps.
Verwante inhoud
Zodra u AWS ClientVPN hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.