AWS での SAML 2.0 フェデレーションで共通のエラーをトラブルシューティングするために、SAML レスポンスをキャプチャして分析する方法。

簡単な説明

SAML フェデレーションを使用している場合は、Active Directory が正しく設定されていることを確認します。詳細については、「AWS federated authentication with Active Directory Federation Services (AD FS)」(Active Directory フェデレーションサービス (AD FS) を使用した AWS フェデレーション認証) を参照してください。

初めて AWS アカウントにフェデレーションアクセスを設定する場合は、複数の AWS アカウントに集中的に管理された IAM アイデンティティセンターアクセスを提供するために、AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) を使用することがベストプラクティスです。

SAML 関連のエラーを解決するには、以下を実行します。

• ブラウザから SAML レスポンスをキャプチャしてデコードします。
• デコードされたファイルの値を確認します。
• エラーを確認し、設定を確認します。

解決方法

SAML レスポンスをキャプチャしてデコード

ブラウザーから SAML レスポンスをキャプチャしてデコードし、AWS に送信された情報を確認します。ブラウザ特有の指示内容については、「トラブルシューティングのためにブラウザで SAML レスポンスを表示する方法」を参照してください。

デコードされたファイルの値を確認

デコードされた SAML レスポンスファイルの値を確認します。

1.    saml:NameID 属性の値が、認証されたユーザーのユーザー名と一致することを確認します。

2.    https://aws.amazon.com/SAML/Attributes/Role の値を確認します。ロールと SAML プロバイダーの Amazon リソースネーム (ARN)では大文字と小文字が区別されます。ARN は AWS アカウントのリソースと一致する必要があります。

3.    https://aws.amazon.com/SAML/Attributes/RoleSessionName の値を確認します。この値がクレームルールとしての正しい値と一致することを確認します。この属性値が E メールアドレスやアカウント名になるように設定している場合は、その値は認証された Active Directory ユーザーの E メールアドレスやアカウント名と一致する必要があります。

エラーをチェックし、設定を確認します

これらの値のいずれかを含むエラーがないかを確認し、次の設定が正しいことを確認します。

1.    クレームが必要な要素を満たすように設定されており、すべての ARN が正確であることを確認します。詳細については、「証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する」を参照してください。

2.    SAML プロバイダーで IdP から AWS に最新のメタデータファイルをアップロードしたことを確認します。詳細については、「SAML 2.0 フェデレーションユーザーが AWS マネジメントコンソールにアクセスできるようにする」を参照してください。

3.    AWS Identity and Access Management (IAM) ロールの信頼ポリシーが正しく設定されていることを確認します。詳細については、「ロールの修正」を参照してください。

4.    コンソールにログインしようとしている Active Directory ユーザーが、IAM ロールに対応する Active Directory グループのメンバーであることを確認します。

一般的なエラーの一覧については、「AWS での SAML 2.0 フェデレーションのトラブルシューティング」を参照してください。Active Directory でクレームルールを設定する場合は、AWS が要求する主要な属性と値を識別するために、認証レスポンスに対してSAML アサーションを設定します。

---