Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
AWS で SAML 2.0 フェデレーションを使用する場合のエラーをトラブルシューティングするために SAML 応答をキャプチャして分析する方法を教えてください。
AWS で SAML 2.0 フェデレーションを使用するときに発生するエラーをトラブルシューティングするために、SAML 応答をキャプチャして分析したいと考えています。
概要
アクティブディレクトリが正しく設定されていることを確認してください。詳細については、「Active Directory Federation Services (AD FS) を使用した AWS フェデレーション認証」を参照してください。
AWS アカウントへのフェデレーションアクセスを初めて設定する場合、AWS IAM アイデンティティセンターの使用をお勧めします。
SAML 関連のエラーをトラブルシューティングするには、次の操作を行います。
- ブラウザで SAML 応答を表示してデコードします。
- デコードされたファイルの値を確認します。
- エラーをチェックし、設定を確認します。
解決策
SAML 応答を表示してデコードする
ブラウザで SAML 応答を確認し、デコードツールを使用して AWS が受信したレスポンスを抽出します。
デコードされたファイルの値を確認する
デコードされた SAML 応答ファイルの値を確認します。
- saml:NameID 属性の値が、認証されたユーザーのユーザー名と一致することを確認します。
- https://aws.amazon.com/SAML/Attributes/Role の値を確認してください。ARN と SAML プロバイダーは大文字と小文字が区別され、ARN はアカウントのリソースと一致する必要があります。
- https://aws.amazon.com/SAML/Attributes/RoleSessionName の値を確認してください。値はクレームルールの値と一致する必要があります。メールアドレスまたはアカウント名の属性値を設定する場合は、値が正しいことを確認してください。値は、認証された Active Directory ユーザーのメールアドレスまたはアカウント名に対応している必要があります。
エラーをチェックし、設定を確認する
値にエラーが含まれていないかどうかを確認し、次の構成が正しいことを確認します。
- クレームルールは必須要素を満たしており、すべての ARN が正しいです。詳細については、「証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する」を参照してください。
- 最新のメタデータファイルを IdP から SAML プロバイダーの AWS にアップロードしました。詳細については、「SAML 2.0 フェデレーションプリンシパルにより AWS マネジメントコンソールへのアクセスを有効にする」を参照してください。
- AWS Identity and Access Management (IAM) ロールの信頼ポリシーが正しく設定されました。詳細については、「ロールの信頼ポリシーの変更 (コンソール)」を参照してください。
- ログインしようとした Active Directory ユーザーは IAM ロールの Active Directory グループのメンバーです。
エラーのリストについては、「IAM による SAML フェデレーションのトラブルシューティング」を参照してください。Active Directory でクレームルールを設定した場合は、認証応答の SAML アサーションを設定してください。
関連情報
- 言語
- 日本語
