¿Cómo puedo capturar y analizar la respuesta de SAML para solucionar errores comunes cuando uso la federación de SAML 2.0 con AWS?

Breve descripción

Asegúrese de haber configurado Active Directory correctamente. Para obtener más información, consulte AWS federated authentication with Active Directory Federation Services (AD FS).

Para configurar el acceso federado a sus cuentas de AWS por primera vez, se recomienda utilizar AWS IAM Identity Center.

Para solucionar los errores relacionados con SAML, realice las siguientes acciones:

• Vea y decodifique la respuesta SAML en su navegador.
• Revise los valores del archivo decodificado.
• Compruebe si hay errores y, a continuación, confirme la configuración.

Resolución

Vea y decodifique una respuesta SAML

Vea la respuesta SAML en su navegador y, a continuación, utilice una herramienta de decodificación para extraer la respuesta que se envió a AWS.

Revise los valores del archivo decodificado

Revise los valores del archivo de respuesta SAML decodificado:

• Compruebe que el valor del atributo saml:NameID coincide con el nombre de usuario del usuario autenticado.
• Revise el valor de https://aws.amazon.com/SAML/Attributes/Role. El ARN y el proveedor de SAML distinguen mayúsculas de minúsculas y el ARN debe coincidir con el recurso de su cuenta.
• Revise el valor de https://aws.amazon.com/SAML/Attributes/RoleSessionName. El valor debe coincidir con el valor de la regla de reclamación. Si configura el valor del atributo para que sea una dirección de correo electrónico o un nombre de cuenta, asegúrese de que los valores son correctos. Los valores deben corresponder a la dirección de correo electrónico o al nombre de cuenta del usuario de Active Directory autenticado.

Compruebe si hay errores y confirme la configuración

Compruebe si los valores contienen errores y confirme que las siguientes configuraciones son correctas:

• Las reglas de reclamación cumplen con los elementos requeridos y todos los ARN son correctos. Para obtener más información, consulte Configuración su SAML 2.0 IdP con una relación de confianza para usuario autenticado y agregando reclamos.
• Ha subido el archivo de metadatos más reciente de su IdP a AWS en su proveedor de SAML. Para obtener más información, consulte Concesión de acceso a la AWS Management Console a los usuarios federados SAML 2.0.
• Ha configurado correctamente la política de confianza del rol de AWS Identity and Access Management (IAM). Para obtener más información, consulte Modificación de un rol.
• El usuario de Active Directory que intentó iniciar sesión es miembro del grupo de Active Directory para el rol de IAM.

Para obtener una lista de los errores más comunes, consulte Solución de problemas de la federación SAML 2.0 con AWS. Si configuró las reglas de reclamación en Active Directory, asegúrese de configurar las aserciones de SAML para la respuesta de autenticación.