¿Cómo puedo capturar y analizar la respuesta de SAML para solucionar errores cuando uso la federación de SAML 2.0 con AWS?

Descripción corta

Asegúrate de haber configurado Active Directory correctamente. Para obtener más información, consulta Autenticación federada de AWS con Active Directory Federation Services (AD FS).

Para configurar el acceso federado a tus cuentas de AWS por primera vez, se recomienda utilizar AWS IAM Identity Center.

Para solucionar los errores relacionados con SAML, realiza las siguientes acciones:

• Ve y decodifica la respuesta SAML en tu navegador.
• Revisa los valores del archivo decodificado.
• Comprueba si hay errores y confirma la configuración.

Resolución

Ver y decodificar una respuesta SAML

Ve la respuesta SAML en tu navegador y, a continuación, utiliza una herramienta de decodificación para extraer la respuesta que recibió AWS.

Revisión de los valores del archivo decodificado

Revisa los valores del archivo de respuesta SAML decodificado:

• Comprueba que el valor del atributo saml:NameID coincide con el nombre de usuario del usuario autenticado.
• Revisa el valor de https://aws.amazon.com/SAML/Attributes/Role. El ARN y el proveedor de SAML distinguen mayúsculas de minúsculas y el ARN debe coincidir con el recurso de tu cuenta.
• Revisa el valor de https://aws.amazon.com/SAML/Attributes/RoleSessionName. El valor debe coincidir con el valor de la regla de reclamación. Si configuras el valor del atributo para que sea una dirección de correo electrónico o un nombre de cuenta, asegúrate de que los valores son correctos. Los valores deben corresponder a la dirección de correo electrónico o al nombre de cuenta del usuario de Active Directory autenticado.

Comprobar si hay errores y confirmar la configuración

Comprueba si los valores contienen errores y confirma que las siguientes configuraciones son correctas:

• Las reglas de reclamación cumplen con los elementos requeridos y todos los ARN son correctos. Para obtener más información, consulta Configuración del IdP de SAML 2.0 con una relación de confianza para usuario autenticado y adición de reclamaciones.
• Has subido el archivo de metadatos más reciente de tu IdP a AWS en tu proveedor de SAML. Para obtener más información, consulta Concesión de acceso a la Consola de administración de AWS a las entidades principales federadas de SAML 2.0.
• Has configurado correctamente la política de confianza del rol de AWS Identity and Access Management (IAM). Para obtener más información, consulta Actualización de una política de confianza de rol (consola).
• El usuario de Active Directory que intentó iniciar sesión es miembro del grupo de Active Directory para el rol de IAM.

Para obtener una lista de errores, consulta Solución de problemas de federación de SAML con IAM. Si configuraste las reglas de reclamación en Active Directory, asegúrate de configurar las aserciones de SAML para la respuesta de autenticación.

Información relacionada

AWSSupport-TroubleshootSAMLIssues