`AWSSupport-TroubleshootSAMLIssues`

Description

Le manuel AWSSupport-TroubleshootSAMLIssues d'automatisation permet de diagnostiquer les problèmes liés au langage SAML (Security Assertion Markup Language) en analysant les fichiers de réponses SAML stockés dans Amazon Simple Storage Service (Amazon S3). Il effectue une validation complète, y compris la vérification du schéma, la validation des signatures, la vérification des restrictions d'audience et la vérification du délai d'expiration. Le runbook décode et extrait les principaux éléments SAML, notamment l'émetteur, les assertions, le sujet, les conditions, les signatures et les attributs, de la réponse SAML. Pour les environnements dans lesquels le protocole SAML est utilisé pour accéder à AWS des ressources (comme Amazon Connect ou Amazon WorkSpaces Applications) par le biais d'un fournisseur d'identité IAM, il vérifie si les certificats contenus dans les signatures de réponse SAML correspondent aux certificats configurés dans le fournisseur d'identité IAM.

Fonctionnement

Le runbook exécute les étapes suivantes :

Valide le format de réponse SAML et les éléments requis.
Décode et extrait les composants de la réponse SAML (émetteur, assertions, sujet, conditions, signatures, attributs).
Vérifie les signatures numériques par rapport aux certificats du fournisseur d'identité IAM lorsqu'ils sont fournis.
Vérifie les restrictions d'audience et la validité temporelle.
Fournit des informations de diagnostic détaillées montrant la structure SAML analysée et les résultats de validation.

Exécuter cette automatisation (console)

Type de document

Automatisation

Propriétaire

Amazon

Plateformes

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

s3:GetBucketLocation
s3:ListBucket
s3:GetBucketPublicAccessBlock
s3:GetAccountPublicAccessBlock
s3:GetObject
s3:GetBucketPolicyStatus
s3:GetEncryptionConfiguration
s3:GetBucketOwnershipControls
s3:GetBucketAcl
s3:GetBucketPolicy
s3:PutObject
iam:GetSAMLProvider
sts:AssumeRole

Exemple de politique :

Instructions

Pour configurer l'automatisation, procédez comme suit :

Avant d'utiliser ce runbook, vous devez capturer et stocker une réponse SAML codée en Base64 (fichier txt) dans un compartiment S3. Les instructions pour capturer les réponses SAML se trouvent dans ce document
Accédez AWSSupport-TroubleshootSAMLIssuesà Systems Manager sous Documents.
Sélectionnez Execute automation (Exécuter l'automatisation).
Pour les paramètres d'entrée, entrez ce qui suit :
- AutomationAssumeRole (Facultatif) :
  - Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
  - Type : AWS::IAM::Role::Arn
- InputFileS3URI (obligatoire) :
  - Description : (obligatoire) Amazon Simple Storage Service (Amazon S3) URI du fichier txt de réponse SAML (par exemple, s3://bucket name/path/to/file - .txt).
  - Type : Chaîne
  - Autoriser le modèle : ^s3://[a-z0-9][a-z0-9.-][a-z0-9](/.)?$
- S3 OutputPrefix (facultatif) :
  - <executionID of the runbook>Description : (Facultatif) Les fichiers de sortie d'analyse sont stockés dans le compartiment d'entrée sous le nom « saml_analysis_ .json ». Vous pouvez utiliser ce paramètre si vous souhaitez générer un fichier avec un préfixe spécifique. <executionID of the runbook>La valeur par défaut est « output/ », auquel cas l'URI du fichier qui affiche le résultat sera 's3://bucket - name/output/saml _analysis_ .json'.
  - Type : Chaîne
  - Autoriser le modèle : ^[a-zA-Z0-9+=,.@\\-_/]*/$
- ExpectedAudience (Facultatif) :
  - Description : (Facultatif) Valeur d'audience attendue dans la réponse SAML. Si ce n'est pas spécifié, nous utilisonsurn:amazon:webservices. Si vous avez configuré une valeur d'audience spécifique dans votre configuration IdP et SP, veuillez fournir le format exact (par exemple,urn:amazon:webservices,https://signin.aws.amazon.com/saml).
  - Type : Chaîne
  - Par défaut : urn:amazon:webservices
- IamIdProviderArn (Facultatif) :
  - Description : (Facultatif) Si vous utilisez une entité de fournisseur d'ID IAM pour lier directement votre IdP AWS à IAM, veuillez fournir son ARN (par exemple,). arn:aws:iam::<account-id>:saml-provider/<provider-name>
  - Type : Chaîne
  - Autoriser le modèle : ^$|^arn:aws:iam::[0-9]{12}:saml-provider/[a-zA-Z0-9_-]+$
- SAMLAuthenticationHeure (facultatif) :
  - Description : (Facultatif) Date et heure auxquelles l'authentification SAML a été effectuée. Le fuseau horaire doit être UTC. Doit être au YYYY-MM-DDThh format:mm:ss (par exemple, 2025-02-01T 10:00:00). Si ce paramètre n'est pas fourni, les vérifications d'expiration seront effectuées par rapport à l'horodatage actuel.
  - Type : Chaîne
  - Autoriser le modèle : ^$|^\\d{4}-(?:0[1-9]|1[0-2])-(?:0[1-9]|[12]\\d|3[01])T(?:[01]\\d|2[0-3]):[0-5]\\d:[0-5]\\d$
- S3 BucketOwnerRoleArn (facultatif) :
  - Description : ARN du rôle IAM (facultatif) pour accéder aux compartiments Amazon S3. L'ARN du rôle IAM autorisé à obtenir les paramètres d'accès public au compartiment et au compte Amazon S3, à bloquer le compte, à configurer le chiffrement du compartiment, à connaître ACLs le statut de la politique du compartiment et à télécharger des objets dans le compartiment. Si ce paramètre n'est pas spécifié, le runbook utilise le fichier `AutomationAssumeRole` (si spécifié) ou l'utilisateur qui démarre ce runbook (si `AutomationAssumeRole` n'est pas spécifié).
  - Type : AWS::IAM::Role::Arn
Sélectionnez Exécuter.
L'automatisation démarre.
Le document exécute les étapes suivantes :
- Valider IAMIDProvider
  
  Valide l'ARN du fournisseur d'ID IAM fourni en vérifiant s'il existe et s'il est accessible. Si aucun ARN n'est fourni, la validation est ignorée et l'étape se termine correctement.
- Chèques 3 BucketPublicStatus
  
  Vérifie si le compartiment Amazon S3 autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture. Si le bucket autorise ces autorisations, l'automatisation s'arrête à cette étape.
- Chèques 3 ObjectExistence
  
  Valide l'accès aux compartiments Amazon S3. Vérifie si le bucket et l'objet existent et si l'automatisation dispose des autorisations nécessaires pour lire depuis la source et écrire vers la destination.
- Analyser SAMLResponse
  
  Analyse le fichier de réponses SAML en effectuant les vérifications (validation du schéma, vérification des signatures, validation de l'audience, vérification de l'expiration). Génère un rapport JSON détaillé et l'enregistre à l'emplacement Amazon S3 spécifié.
Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
- La section Outputs contient des informations sur l'objet Amazon S3 dans lequel les résultats de l'analyse sont décrits.
L'objet Amazon S3 figurant dans les résultats de l'analyse est un fichier Json contenant les informations suivantes :
- validation_result : contient les résultats de validation de base de la réponse SAML.
  - saml_info : informations SAML clés, notamment l'émetteur, les signatures et les assertions.
  - schema_validation : résultats de la validation du schéma SAML.
- verification_result : fournit des résultats de diagnostic plus détaillés.
  - signature : résultats de la vérification de signature.
  - audience : résultats de la validation des restrictions d'audience.
  - expiration : résultats de la vérification de l'heure d'expiration.

Références

Systems Manager Automation

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWSSupport-ContainIAMPrincipal

Détection et réponse aux incidents