Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen
Wenn Sie einen IAM-Identitätsanbieter und die Rolle für den SAML-Zugriff erstellen, teilen Sie AWS mit, wer der externe Identitätsanbieter (Identity Provider, IdP) ist und was seine Benutzer tun dürfen. Der nächste Schritt besteht dann darin, den Identitätsanbieter über AWS als Dienstanbieter zu informieren. Dieser Vorgang wird als Hinzufügen der Vertrauensstellung für die vertrauenden Seiten zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Der genaue Prozess des Hinzufügens der Vertrauensstellung für die vertrauende Seite hängt davon ab, welchen Identitätsanbieter Sie verwenden. Weitere Informationen finden Sie in der Dokumentation Ihrer Identitätsverwaltungssoftware.
Viele Identitätsanbieter ermöglichen Ihnen die Angabe einer URL, unter der der Identitätsanbieter ein XML-Dokument mit Informationen zu den vertrauenden Seiten sowie Zertifikate abrufen kann. Verwenden Sie für AWS die Anmeldeendpunkt-URL. Das folgende Beispiel veranschaulicht das URL-Format mit dem optionalen region-code.
https://region-code.signin.aws.amazon.com/static/saml-metadata.xml
Wenn eine SAML-Verschlüsselung erforderlich ist, muss die URL die eindeutige Kennung enthalten, die AWS Ihrem SAML-Anbieter zuweist. Diese finden Sie auf der Detailseite des Identitätsanbieters. Folgendes Beispiel zeigt die regionale Anmelde-URL, die eine eindeutige Kennung enthält.
https://region-code.signin.aws.amazon.com/static/saml/IdP-ID/saml-metadata.xml
Eine Liste möglicher Werte für region-code finden Sie in der Spalte Region unter AWS Sign-In endpoints (-Anmelde-Endpunkte). Für den AWS-Wert können Sie auch den nicht-regionalen Endpunkt https://signin.aws.amazon.com/saml verwenden.
Wenn Sie eine URL nicht direkt angeben können, laden Sie das XML-Dokument von der vorangegangenen URL herunter und importieren Sie es in Ihre Identitätsanbietersoftware.
Sie müssen auch entsprechende Anspruchsregeln in Ihrem Identitätsanbieter erstellen, die AWS als vertrauende Seite angeben. Wenn der Identitätsanbieter eine SAML-Antwort an den AWS-Endpunkt sendet, ist eine SAML-Zusicherung enthalten, die mindestens einen Anspruch umfasst. Bei einem Anspruch handelt es sich um Informationen über den Benutzer und seine Gruppen. Eine Anspruchsregel ordnet diese Informationen in SAML-Attributen zu. Dadurch können Sie sicherstellen, dass SAML-Authentifizierungsantworten von Ihrem Identitätsanbieter die erforderlichen Attribute enthalten, die AWS in IAM-Richtlinien verwendet, um Berechtigungen für SAML-Verbundprinzipale zu prüfen. Weitere Informationen finden Sie unter den folgenden Themen:
-
Übersicht über die Rolle, um Federated-SAML-Zugriff auf Ihre AWS-Ressourcen zuzulassen. In diesem Thema erfahren Sie, wie SAML-spezifische Schlüssel in IAM-Richtlinien verwendet werden und wie sie genutzt werden, um Berechtigungen für SAML-Verbundprinzipale einzuschränken.
-
Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion. In diesem Thema wird erklärt, wie SAML-Ansprüche konfiguriert werden, die Informationen über den Benutzer enthalten. Die Ansprüche sind in einer SAML-Zusicherung gebündelt und in der SAML-Antwort, die an gesendet wird, enthalten AWS. Sie müssen sicherstellen, dass die von AWS-Richtlinien benötigten Informationen in der SAML-Zusicherung in einem Format enthalten sind, das AWS erkennen und verwenden kann.
-
Integration von Drittanbietern von SAML-Lösungen mit AWS. Dieses Thema enthält Links zu Dokumentationen, die von Drittanbieter-Organisationen darüber bereitgestellt werden, wie Identitätslösungen in AWS integriert werden können.
Anmerkung
Um die Verbundstabilität zu verbessern, empfehlen wir, dass Sie Ihren IdP und Ihren AWS-Verbund so konfigurieren, dass mehrere SAML-Anmeldeendpunkte unterstützt werden. Einzelheiten finden Sie im AWS-Sicherheitsblogartikel How to use regional SAML endpoints for failover
