¿Cómo puedo capturar y analizar la respuesta de SAML para solucionar errores comunes con la federación de SAML 2.0 con AWS?

Descripción corta

Si utiliza la federación de SAML, asegúrese de haber configurado Active Directory correctamente. Para obtener más información, consulte autenticación federada de AWS con Active Directory Federation Services (AD FS).

Si va a configurar el acceso federado a sus cuentas de AWS por primera vez, se recomienda utilizar el servicio AWS IAM Identity Center (sucesor de AWS Single Sign-On) para proporcionar acceso al IAM Identity Center administrado de forma centralizada a varias cuentas de AWS.

Para solucionar errores relacionados con SAML:

• Capture y decodifique una respuesta SAML del navegador.
• Revise los valores del archivo decodificado.
• Compruebe si hay errores y, a continuación, confirme la configuración.

Resolución

Capturar y decodificar una respuesta SAML

Capture y decodifique una respuesta SAML del navegador y, a continuación, revise la información enviada a AWS. Para obtener instrucciones específicas del navegador, consulte Cómo ver una respuesta de SAML en tu navegador para solucionar problemas.

Revise los valores del archivo decodificado

Revise los valores del archivo de respuesta SAML descodificado:

1.    Compruebe que el valor del atributo SAML:NameID coincide con el nombre de usuario del usuario autenticado.

2.    Revise el valor de https://aws.amazon.com/SAML/Attributes/Role. Los nombres de recursos de Amazon (ARN) del rol y del proveedor de SAML distinguen mayúsculas de minúsculas y los ARN deben coincidir con los recursos de su cuenta de AWS.

3.    Revise el valor de https://aws.amazon.com/SAML/Attributes/RoleSessionName. Asegúrese de que el valor coincida con el valor correcto como regla de reclamación. Si configura el valor del atributo para que sea una dirección de correo electrónico o un nombre de cuenta, el valor debe corresponder a la dirección de correo electrónico o al nombre de cuenta del usuario de Active Directory autenticado.

Compruebe si hay errores y confirme la configuración

Compruebe si hay errores en alguno de estos valores y confirme que las siguientes configuraciones son correctas:

1.    Confirme que las reglas de reclamación estén configuradas para cumplir con los elementos requeridos y que todos los ARN sean precisos. Para obtener más información, consulta Cómo configurar tu IdP de SAML 2.0 con la confianza de una parte confiable y agregar reclamaciones.

2.    Confirme que ha subido el archivo de metadatos más reciente de su IdP a AWS en su proveedor de SAML. Para obtener más información, consulte Permitir que los usuarios federados de SAML 2.0 accedan a la consola de administración de AWS.

3.    Confirme que la política de confianza del rol de AWS Identity and Access Management (IAM) está configurada correctamente. Para obtener más información, consulte Modificación de un rol.

4.    Confirme que el usuario de Active Directory que intenta iniciar sesión en la consola es miembro del grupo de Active Directory que corresponde a la función de IAM.

Para obtener una lista de los errores más comunes, consulte Solución de problemas de federación de SAML 2.0 con AWS. Si está configurando las reglas de reclamación en Active Directory, asegúrese de configurar las aserciones de SAML para las respuestas de autenticación a fin de identificar los atributos y valores clave que AWS requiere.