Come posso acquisire e analizzare la risposta SAML per risolvere gli errori più comuni nella federazione SAML 2.0 con AWS?
Sto usando Active Directory locale con integrazione SAML, ma non riesco a connettermi alla Console di gestione AWS.
Breve descrizione
Se utilizzi la federazione SAML, assicurati di aver configurato correttamente Active Directory. Per ulteriori informazioni, consulta l'autenticazione federata di AWS con Active Directory Federation Services (AD FS).
Se stai configurando l'accesso federato ai tuoi account AWS per la prima volta, è consigliabile utilizzare il ](https://aws.amazon.com/iam/identity-center/) servizio [ AWS IAM Identity Center (successore di AWS Single Sign-On) per fornire l'accesso a IAM Identity Center gestito centralmente a più account AWS.
Per risolvere gli errori relativi a SAML:
- Acquisisci e decodifica una risposta SAML dal browser.
- Rivedi i valori nel file decodificato.
- Verificare la presenza di errori, quindi confermare la configurazione.
Risoluzione
Acquisisci e decodifica una risposta SAML
Acquisisci e decodifica una risposta SAML dal browser, quindi esamina le informazioni inviate ad AWS. Per istruzioni specifiche del browser, consulta Come visualizzare una risposta SAML nel tuo browser per la risoluzione dei problemi.
Rivedi i valori nel file decodificato
Rivedi i valori nel file di risposta SAML decodificato:
-
Verifica che il valore dell'**attributo ** saml:nameID corrisponda al nome utente dell'utente autenticato.
-
Controlla il valore di ** https://aws.amazon.com/SAML/Attributes/Role**. Gli Amazon Resource Names (ARN) per il ruolo e il provider SAML fanno distinzione tra maiuscole e minuscole e gli ARN devono corrispondere alle risorse del tuo account AWS.
-
Controlla il valore di ** https://aws.amazon.com/SAML/Attributes/RoleSessionName**. Assicurati che il valore corrisponda al valore corretto come regola relativa ai reclami. Se si configura il valore dell'attributo come indirizzo e-mail o nome di account, il valore deve corrispondere all'indirizzo e-mail o al nome dell'account dell'utente Active Directory autenticato.
Verifica la presenza di errori e conferma la configurazione
Verifica la presenza di errori con uno qualsiasi di questi valori e conferma che le seguenti configurazioni siano corrette:
-
Verifica che le regole relative ai reclami siano configurate per soddisfare gli elementi richiesti e che tutti gli ARN siano accurati. Per ulteriori informazioni, consulta Configurazione del tuo IdP SAML 2.0 con un trust di relying party e l'aggiunta di reclami.
-
Conferma di aver caricato il file di metadata più recente dal tuo IdP in AWS nel tuo provider SAML. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere alla Console di gestione AWS.
-
Conferma di aver configurato correttamente la policy di fiducia del ruolo AWS Identity and Access Management (IAM). Per ulteriori informazioni, vedere Modifica di un ruolo.
-
Verifica che l'utente di Active Directory, che tenta di accedere alla console, sia membro del gruppo Active Directory che corrisponde al ruolo IAM.
Per un elenco di errori comuni, consulta Risoluzione dei problemi di federazione SAML 2.0 con AWS. Se stai configurando le regole dei reclami in Active Directory, assicurati di configurare le dichiarazioni SAML per le risposte di autenticazione per identificare gli attributi e i valori chiave richiesti da AWS.
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- Come faccio a configurare AD FS come provider di identità SAML con un pool di utenti Amazon Cognito?AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 6 mesi fa