AWSSupport-TroubleshootSAMLIssues - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootSAMLIssues

Beschreibung

Das AWSSupport-TroubleshootSAMLIssues Automation Runbook hilft bei der Diagnose von Problemen im Zusammenhang mit Security Assertion Markup Language (SAML), indem es die in Amazon Simple Storage Service (Amazon S3) gespeicherten SAML-Antwortdateien analysiert. Es führt eine umfassende Validierung durch, einschließlich Schemaverifizierung, Signaturvalidierung, Überprüfung von Zielgruppeneinschränkungen und Überprüfung der Ablaufzeit. Das Runbook dekodiert und extrahiert wichtige SAML-Elemente wie Aussteller, Assertionen, Betreff, Bedingungen, Signaturen und Attribute aus der SAML-Antwort. In Umgebungen, in denen SAML für den Zugriff auf AWS Ressourcen (wie Amazon Connect oder Amazon WorkSpaces Applications) über einen IAM-Identitätsanbieter verwendet wird, überprüft es, ob die Zertifikate in den SAML-Antwortsignaturen mit den im IAM Identity Provider konfigurierten Zertifikaten übereinstimmen.

Wie funktioniert das?

Das Runbook führt die folgenden Schritte aus:

  • Überprüft das SAML-Antwortformat und die erforderlichen Elemente.

  • Dekodiert und extrahiert SAML-Antwortkomponenten (Aussteller, Assertionen, Betreff, Bedingungen, Signaturen, Attribute).

  • Überprüft digitale Signaturen anhand von IAM Identity Provider-Zertifikaten, sofern diese bereitgestellt werden.

  • Überprüft die Zielgruppeneinschränkungen und die zeitliche Gültigkeit.

  • Stellt detaillierte Diagnoseinformationen bereit, die die analysierte SAML-Struktur und die Validierungsergebnisse aufzeigen.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

/

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • s3:GetBucketLocation

  • s3:ListBucket

  • s3:GetBucketPublicAccessBlock

  • s3:GetAccountPublicAccessBlock

  • s3:GetObject

  • s3:GetBucketPolicyStatus

  • s3:GetEncryptionConfiguration

  • s3:GetBucketOwnershipControls

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:PutObject

  • iam:GetSAMLProvider

  • sts:AssumeRole

Beispiel für eine Richtlinie:

JSON

        {
            "Version":"2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:ListBucket",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetObject",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetEncryptionConfiguration",
                        "s3:GetBucketOwnershipControls",
                        "s3:GetBucketAcl",
                        "s3:GetBucketPolicy",
                        "s3:PutObject",
                        "iam:GetSAMLProvider",
                        "sts:AssumeRole"
                    ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Bevor Sie dieses Runbook verwenden können, müssen Sie eine Base64-kodierte SAML-Antwort (TXT-Datei) erfassen und in einem S3-Bucket speichern. Anweisungen zum Erfassen von SAML-Antworten finden Sie in diesem Dokument

  2. Navigieren Sie AWSSupport-TroubleshootSAMLIssuesim Systems Manager unter Dokumente zu.

  3. Wählen Sie Execute automation (Automatisierung ausführen).

  4. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      • Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es SSM Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

      • Typ: AWS::IAM::Role::Arn

    • InputFileS3URI (erforderlich):

      • Beschreibung: (Erforderlich) Amazon Simple Storage Service (Amazon S3) URI der SAML-Antwort-TXT-Datei (z. B. s3://bucket - name/path/to/file .txt).

      • Typ: Zeichenfolge

      • Muster zulassen: ^s3://[a-z0-9][a-z0-9.-][a-z0-9](/.)?$

    • S3 OutputPrefix (fakultativ):

      • <executionID of the runbook>Beschreibung: (Optional) Die Analyseausgabedateien werden im Eingabe-Bucket unter dem Namen „saml_analysis_ .json“ gespeichert. Sie können diesen Parameter verwenden, wenn Sie eine Datei mit einem bestimmten Präfix ausgeben möchten. <executionID of the runbook>Der Standardwert ist „output/“. In diesem Fall lautet die Datei-URI, die das Ergebnis ausgibt, 's3://bucket - name/output/saml _analysis_ .json'.

      • Typ: Zeichenfolge

      • Muster zulassen: ^[a-zA-Z0-9+=,.@\\-_/]*/$

    • ExpectedAudience (Fakultativ):

      • Beschreibung: (Optional) Erwarteter Zielgruppenwert in der SAML-Antwort. Wenn nicht angegeben, verwenden urn:amazon:webservices wir. Wenn Sie in Ihrem IdP- und SP-Setup einen bestimmten Zielgruppenwert konfiguriert haben, geben Sie bitte das genaue Format an (z. B.urn:amazon:webservices,https://signin.aws.amazon.com/saml).

      • Typ: Zeichenfolge

      • Standard: urn:amazon:webservices

    • IamIdProviderArn (Fakultativ):

      • Beschreibung: (Optional) Wenn Sie eine IAM-ID-Provider-Entität verwenden, um Ihren IdP direkt mit AWS IAM zu verknüpfen, geben Sie bitte deren ARN an (z. B.). arn:aws:iam::<account-id>:saml-provider/<provider-name>

      • Typ: Zeichenfolge

      • Muster zulassen: ^$|^arn:aws:iam::[0-9]{12}:saml-provider/[a-zA-Z0-9_-]+$

    • SAMLAuthenticationZeit (optional):

      • Beschreibung: (Optional) Datum und Uhrzeit der SAML-Authentifizierung. Die Zeitzone muss UTC sein. Muss im YYYY-MM-DDThh Format:mm:ss vorliegen (z. B. 2025-02-01T 10:00:00). Wenn dieser Parameter nicht angegeben wird, werden Ablaufprüfungen anhand des aktuellen Zeitstempels durchgeführt.

      • Typ: Zeichenfolge

      • Muster zulassen: ^$|^\\d{4}-(?:0[1-9]|1[0-2])-(?:0[1-9]|[12]\\d|3[01])T(?:[01]\\d|2[0-3]):[0-5]\\d:[0-5]\\d$

    • S3 BucketOwnerRoleArn (fakultativ):

      • Beschreibung: (Optional) IAM-Rollen-ARN für den Zugriff auf die Amazon S3 S3-Buckets. Der ARN der IAM-Rolle mit den Berechtigungen zum Abrufen der Einstellungen für den öffentlichen Zugriff auf den Amazon S3 S3-Bucket und das Konto, zur Konfiguration der Bucket-Verschlüsselung, zum Bucket, zum Bucket ACLs, zum Bucket-Richtlinienstatus und zum Hochladen von Objekten in den Bucket. Wenn dieser Parameter nicht angegeben ist, verwendet das Runbook den `AutomationAssumeRole` (falls angegeben) oder den Benutzer, der dieses Runbook startet (falls `AutomationAssumeRole` nicht angegeben ist).

      • Typ: AWS::IAM::Role::Arn

  5. Wählen Sie Ausführen aus.

  6. Die Automatisierung wird initiiert.

  7. Das Dokument führt die folgenden Schritte aus:

    • Bestätigen IAMIDProvider

      Überprüft den bereitgestellten IAM-ID-Provider-ARN, indem geprüft wird, ob er existiert und zugänglich ist. Wenn kein ARN angegeben wird, wird die Validierung übersprungen und der Schritt wird erfolgreich abgeschlossen.

    • Prüft S 3 BucketPublicStatus

      Prüft, ob der Amazon S3 S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen zulässt. Wenn der Bucket diese Berechtigungen zulässt, stoppt die Automatisierung bei diesem Schritt.

    • Prüft (3) ObjectExistence

      Validiert den Zugriff auf die Amazon S3 S3-Buckets. Prüft, ob der Bucket und das Objekt existieren und ob die Automatisierung über die erforderlichen Berechtigungen verfügt, um aus der Quelle zu lesen und in das Ziel zu schreiben.

    • Analysieren SAMLResponse

      Analysiert die SAML-Antwortdatei, indem die Prüfungen durchgeführt werden (Schemavalidierung, Signaturüberprüfung, Zielgruppenvalidierung, Ablaufprüfung). Generiert einen detaillierten JSON-Bericht und speichert ihn am angegebenen Amazon S3 S3-Speicherort.

  8. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung:

    • Der Abschnitt Ausgaben enthält Informationen über das Amazon S3 S3-Objekt, in dem die Analyseergebnisse beschrieben werden.

  9. Das Amazon S3 S3-Objekt in den Analyseergebnissen ist eine JSON-Datei mit den folgenden Informationen:

    • validation_result: enthält grundlegende Validierungsergebnisse der SAML-Antwort.

      • saml_info: Wichtige SAML-Informationen, einschließlich Aussteller, Signaturen und Assertionen.

      • schema_validation: Ergebnisse der SAML-Schemavalidierung.

    • verification result: liefert detailliertere Diagnoseergebnisse.

      • Signatur: Ergebnisse der Signaturüberprüfung.

      • Zielgruppe: Ergebnisse der Überprüfung der Zielgruppeneinschränkungen.

      • Ablauf: Ergebnisse der Überprüfung der Ablaufzeit.

Referenzen

Systems Manager Automation