AWS で SAML 2.0 フェデレーションを使用するときによく発生するエラーのトラブルシューティングを実行できるように、SAML レスポンスをキャプチャして分析したいと考えています。
簡単な説明
アクティブディレクトリが正しく設定されていることを確認してください。詳細については、「AWS Federated Authentication with Active Directory Federation Services (AD FS)」を参照してください。
AWS アカウントへのフェデレーションアクセスを初めて設定する場合、AWS IAM アイデンティティセンターを使用するのがベストプラクティスです。
SAML 関連のエラーをトラブルシューティングするには、次の操作を行います。
- ブラウザで SAML レスポンスを表示してデコードします。
- デコードされたファイルの値を確認します。
- エラーをチェックし、設定を確認します。
解決策
SAML レスポンスを表示してデコードする
ブラウザで SAML レスポンスを確認し、デコードツールを使用して AWS に送信されたレスポンスを抽出します。
デコードされたファイルの値を確認する
デコードされた SAML レスポンスファイルの値を確認します。
- saml:NameID 属性の値が、認証されたユーザーのユーザー名と一致することを確認します。
- https://aws.amazon.com/SAML/Attributes/Role の値を確認してください。ARN と SAML プロバイダーは大文字と小文字が区別され、ARN はアカウントのリソースと一致する必要があります。
- https://aws.amazon.com/SAML/Attributes/RoleSessionName の値を確認してください。値はクレームルールの値と一致する必要があります。電子メールアドレスまたはアカウント名の属性値を設定する場合は、値が正しいことを確認してください。値は、認証された Active Directory ユーザーの電子メールアドレスまたはアカウント名に対応している必要があります。
エラーをチェックし、設定を確認する
値にエラーが含まれていないかどうかを確認し、次の構成が正しいことを確認します。
一般的なエラーのリストについては、「](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)AWS での SAML 2.0 フェデレーションのトラブルシューティング[」を参照してください。Active Directory でクレームルールを設定した場合は、認証レスポンスの SAML アサーションを必ず設定してください。