AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie erfasse und analysiere ich die SAML-Antwort, um Fehler mit dem SAML 2.0-Verbund mit AWS zu beheben?

Lesedauer: 3 Minute

Ich möchte die SAML-Antwort so erfassen und analysieren, dass ich Fehler beheben kann, wenn ich den SAML 2.0-Verbund mit AWS verwende.

Kurzbeschreibung

Stelle sicher, dass du Active Directory richtig konfiguriert hast. Weitere Informationen findest du unter AWS-Verbundauthentifizierung mit Active Directory Federation Services (AD FS).

Um den Verbundzugriff auf deine AWS-Konten zum ersten Mal einzurichten, empfiehlt es sich, das AWS IAM Identity Center zu verwenden.

Gehe wie folgt vor, um SAML-bezogene Fehler zu beheben:

Zeige die SAML-Antwort in deinem Browser an und dekodiere sie.
Überprüfe die Werte in der dekodierten Datei.
Suche nach Fehlern und bestätige die Konfiguration.

Lösung

Erfassen und dekodieren einer SAML-Antwort

Sieh dir die SAML-Antwort in deinem Browser an und verwende ein Dekodierungs-Tool, um die Antwort zu extrahieren, die AWS erhalten hat.

Überprüfen der Werte in der dekodierten Datei

Überprüfe die Werte in der dekodierten SAML-Antwortdatei:

Stelle sicher, dass der Wert für das Attribut saml:NameID mit dem Benutzernamen des authentifizierten Benutzers übereinstimmt.
Überprüfe den Wert für https://aws.amazon.com/SAML/Attributes/Role. Beim ARN- und SAML-Anbieter wird zwischen Groß- und Kleinschreibung unterschieden und der ARN muss mit der Ressource in deinem Konto übereinstimmen.
Überprüfe den Wert für https://aws.amazon.com/SAML/Attributes/RoleSessionName. Der Wert muss mit dem Wert in der Anspruchsregel übereinstimmen. Wenn du den Attributwert für eine E-Mail-Adresse oder einen Kontonamen konfigurierst, stelle sicher, dass die Werte korrekt sind. Die Werte müssen der E-Mail-Adresse oder dem Kontonamen des authentifizierten Active Directory-Benutzers entsprechen.

Suche nach Fehlern und Bestätigen der Konfiguration

Prüfe, ob die Werte fehlerhaft sind, und bestätige, dass die folgenden Konfigurationen korrekt sind:

Die Anspruchsregeln erfüllen die erforderlichen Elemente und alle ARNs sind korrekt. Weitere Informationen findest du unter Konfigurieren deines SAML 2.0-IdP mit Relying Party Trust und Hinzufügen von Ansprüchen.
Du hast die neueste Metadatendatei von deinem IdP in AWS bei deinem SAML-Anbieter hochgeladen. Weitere Informationen findest du unter Aktivieren von SAML 2.0-Verbundprinzipalen für den Zugriff auf die AWS-Managementkonsole.
Du hast die Vertrauensrichtlinie der Rolle AWS Identity and Access Management (IAM) korrekt konfiguriert. Weitere Informationen findest du unter Aktualisieren einer Rollenvertrauensrichtlinie (Konsole).
Der Active Directory-Benutzer, der versucht hat, sich anzumelden, ist Mitglied der Active Directory-Gruppe für die IAM-Rolle.

Eine Liste der Fehler findest du unter Problembehandlung beim SAML-Verbund mit IAM. Wenn du Anspruchsregeln im Active Directory konfiguriert hast, stelle sicher, dass du SAML-Aussagen für die Authentifizierungsantwort konfigurierst.

Relevanter Inhalt

Wie behebe ich einen Fehler „ungültige SAML-Antwort“ für den Okta- und AWS IAM-Verbund?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie behebe ich Fehler bei ungültigen SAML-Antworten, die Benutzer erhalten, wenn sie sich mit Amazon Cognito verbinden?
AWS OFFICIALAktualisiert vor 5 Jahren
Wie richte ich Auth0 als SAML-Identitätsanbieter mit einem Amazon-Cognito-Benutzerpool ein?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie integriere und konfiguriere ich Amazon Cognito sicher mit externen SAML-Identitätsanbietern?
AWS OFFICIALAktualisiert vor 5 Monaten