If you're experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.
如何捕获和分析 SAML 响应以排查在 AWS 上使用 SAML 2.0 联合身份验证时出现的错误?
1 分钟阅读
0
我想捕获和分析 SAML 响应,以排查在 AWS 上使用 SAML 2.0 联合身份验证时出现的错误。
简短描述
确保已正确配置 Active Directory。有关更多信息,请参阅 AWS 联合身份验证与 Active Directory 联合验证身份服务 (AD FS)。
要首次设置对 AWS 账户的联合访问权限,最佳做法是使用 AWS IAM Identity Center。
要排查与 SAML 相关的错误,请执行以下操作:
- 在浏览器中查看和解码 SAML 响应。
- 查看已解码文件中的值。
- 检查是否存在错误并确认配置。
解决方法
查看和解码 SAML 响应
在浏览器中查看 SAML 响应,然后使用解码工具提取 AWS 接收到的响应。
查看已解码文件中的值
查看已解码的 SAML 响应文件中的值:
- 验证 saml:NameID 属性的值与经过身份验证的用户的用户名是否匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/Role 的值。ARN 和 SAML 提供者需区分大小写,且 ARN 必须与您账户中的资源相匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的值。该值必须与声明规则中的值相匹配。如果为电子邮件地址或账户名配置属性值,请确保这些值正确无误。这些值必须与经过身份验证的 Active Directory 用户的电子邮件地址或账户名相符。
检查错误并确认配置
检查这些值是否包含错误,并确认以下配置正确无误:
- 声明规则包含要求的要素,所有 ARN 正确无误。有关更多信息,请参阅配置具有依赖方信任的 SAML 2.0 IdP 并添加声明。
- 已将最新的元数据文件从 IdP 上传到 SAML 提供者的 AWS。有关更多信息,请参阅启用 SAML 2.0 联合主体访问 AWS 管理控制台。
- 已正确配置 AWS Identity and Access Management (IAM) 角色的信任策略。有关详细信息,请参阅更新角色信任策略(控制台)。
- 确认尝试登录的 Active Directory 用户是 IAM 角色的 Active Directory 组的成员。
有关错误列表,请参阅使用 IAM 对 SAML 联合身份验证进行故障排除。如果在 Active Directory 中配置了声明规则,请务必为身份验证响应配置 SAML 断言。
相关信息
- 语言
- 中文 (简体)
AWS 官方已更新 6 个月前
没有评论
