Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
如何捕获和分析 SAML 响应以排查在 AWS 上使用 SAML 2.0 联合身份验证时出现的常见错误?
1 分钟阅读
0
我想捕获和分析 SAML 响应,以此解决在 AWS 上使用 SAML 2.0 联合身份验证时出现的常见错误。
简短描述
确保已正确配置 Active Directory。有关更多信息,请参阅 AWS federated authentication with Active Directory Federation Services (AD FS)。
要首次设置对 AWS 账户的联合访问权限,最佳做法是使用 AWS IAM Identity Center。
要排查与 SAML 相关的错误,请执行以下操作:
- 在浏览器中查看和解码 SAML 响应。
- 查看已解码文件中的值。
- 检查是否存在错误,然后确认配置。
解决方法
查看和解码 SAML 响应
在浏览器中查看 SAML 响应,然后使用解码工具提取发送到 AWS 的响应。
查看已解码文件中的值
查看已解码的 SAML 响应文件中的值:
- 验证 saml:NameID 属性的值与经过身份验证的用户的用户名是否匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/Role 的值。ARN 和 SAML 提供者需区分大小写,且 ARN 必须与您账户中的资源相匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的值。该值必须与声明规则中的值相匹配。如果为电子邮件地址或账户名配置属性值,请确保这些值正确无误。这些值必须与经过身份验证的 Active Directory 用户的电子邮件地址或账户名相符。
检查错误并确认配置
检查这些值是否包含错误,并确认以下配置正确无误:
- 声明规则包含要求的要素,所有 ARN 正确无误。有关更多信息,请参阅 Configure your SAML 2.0 IdP with relying party trust and adding claims。
- 已将最新的元数据文件从 IdP 上传到 SAML 提供者的 AWS。有关更多信息,请参阅 Activating SAML 2.0 federated users to access the AWS Management Console。
- 已正确配置 AWS Identity and Access Management(IAM)角色的信任策略。有关详细信息,请参阅 Modifying a role。
- 确认尝试登录的 Active Directory 用户是 IAM 角色的 Active Directory 组的成员。
有关常见错误的列表,请参阅 Troubleshooting SAML 2.0 federation with AWS。如果在 Active Directory 中配置了声明规则,请务必为身份验证响应配置 SAML 断言。
AWS 官方已更新 10 个月前
没有评论
相关内容
- AWS 官方已更新 4 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 4 年前
