Como posso capturar e analisar a resposta do SAML para solucionar erros comuns com a federação do SAML 2.0 com a AWS?

Breve descrição

Se você estiver usando a federação SAML, certifique-se de ter configurado corretamente o Active Directory. Para mais informações, consulte AWS federated authentication with Active Directory Federation Services (AD FS) (Autenticação federada da AWS com os Serviços de Federação do Active Directory (AD FS).

Se você estiver configurando o acesso federado às suas contas da AWS pela primeira vez, é uma prática recomendada usar o serviço Centro de Identidade do AWS IAM (sucessor do AWS Single Sign-On) para fornecer acesso ao Centro de Identidade do IAM gerenciado centralmente a várias contas da AWS.

Para solucionar erros relacionados ao SAML:

• Capture e decodifique uma resposta SAML no navegador.
• Revise os valores no arquivo decodificado.
• Verifique se há erros e confirme a configuração.

Resolução

Capture e decodifique uma resposta SAML

Capture e decodifique uma resposta SAML do navegador e, em seguida, revise as informações enviadas para a AWS. Para obter instruções específicas do navegador, consulte How to view a SAML response in your browser for troubleshooting (Como visualizar uma resposta SAML em seu navegador para solução de problemas).

Revise os valores no arquivo decodificado

Examine os valores no arquivo de resposta SAML decodificado:

1.    Verifique se o valor do atributo saml:NameID corresponde ao nome do usuário autenticado.

2.    Revise o valor de https://aws.amazon.com/SAML/Attributes/Role. Os nomes de recursos da Amazon (ARNs) para a função e o provedor de SAML diferenciam maiúsculas de minúsculas, e os ARNs devem corresponder aos recursos em sua conta da AWS.

3.    Revise o valor de https://aws.amazon.com/SAML/Attributes/RoleSessionName. Certifique-se de que o valor corresponda ao valor correto conforme a regra de reivindicação. Se você configurar o valor do atributo como um endereço de e-mail ou nome de conta, o valor deverá corresponder ao endereço de e-mail ou nome da conta do usuário autenticado do Active Directory.

Verifique se há erros e confirme a configuração

Verifique se há erros com qualquer um desses valores e confirme se as configurações a seguir estão corretas:

1.    Confirme se as regras de solicitação estão configuradas para atender aos elementos necessários e se todos os ARNs estão corretos. Para mais informações, consulte Configuring your SAML 2.0 IdP with relying party trust and adding claims (Como configurar seu IdP SAML 2.0 com confiança de partes confiáveis e adição de declarações).

2.    Confirme se você carregou o arquivo de metadados mais recente do seu IdP para a AWS em seu provedor de SAML. Para mais informações, consulte Permitir que usuários federados do SAML 2.0 acessem o Console de Gerenciamento da AWS.

3.    Confirme se a política de confiança do perfil do Identity and Access Management (IAM) da AWS está configurada corretamente. Para mais informações, consulte Como modificar um papel.

4.    Confirme se o usuário do Active Directory que está tentando fazer login no console é membro do grupo do Active Directory que corresponde à função do IAM.

Para obter uma lista de erros comuns, consulte Troubleshooting SAML 2.0 federation with AWS (Solução de problemas de federação do SAML 2.0 com a AWS). Se você estiver configurando regras de declaração no Active Directory, certifique-se de configurar as asserções SAML para as respostas de autenticação para identificar os principais atributos e valores que a AWS exige.

---