`AWSSupport-TroubleshootSAMLIssues`

Descrizione

Il runbook di AWSSupport-TroubleshootSAMLIssues automazione aiuta a diagnosticare i problemi relativi al Security Assertion Markup Language (SAML) analizzando i file di risposta SAML archiviati in Amazon Simple Storage Service (Amazon S3). Esegue una convalida completa, tra cui la verifica dello schema, la convalida delle firme, il controllo della restrizione del pubblico e la verifica del tempo di scadenza. Il runbook decodifica ed estrae gli elementi SAML chiave, tra cui emittente, asserzioni, oggetto, condizioni, firme e attributi, dalla risposta SAML. Per gli ambienti in cui SAML viene utilizzato per accedere alle AWS risorse (come Amazon Connect o Amazon WorkSpaces Applications) tramite un IAM Identity Provider, verifica se i certificati nelle firme di risposta SAML corrispondono ai certificati configurati nell'IAM Identity Provider.

Come funziona?

Il runbook esegue i seguenti passaggi:

Convalida il formato di risposta SAML e gli elementi richiesti.
Decodifica ed estrae i componenti della risposta SAML (emittente, asserzioni, oggetto, condizioni, firme, attributi).
Verifica le firme digitali rispetto ai certificati IAM Identity Provider, se forniti.
Verifica le restrizioni relative al pubblico e la validità temporale.
Fornisce informazioni diagnostiche dettagliate che mostrano la struttura SAML analizzata e i risultati di convalida.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

s3:GetBucketLocation
s3:ListBucket
s3:GetBucketPublicAccessBlock
s3:GetAccountPublicAccessBlock
s3:GetObject
s3:GetBucketPolicyStatus
s3:GetEncryptionConfiguration
s3:GetBucketOwnershipControls
s3:GetBucketAcl
s3:GetBucketPolicy
s3:PutObject
iam:GetSAMLProvider
sts:AssumeRole

Politica di esempio:

Istruzioni

Segui questi passaggi per configurare l'automazione:

Prima di utilizzare questo runbook, devi acquisire e archiviare una risposta SAML con codifica Base64 (file txt) in un bucket S3. Le istruzioni per acquisire le risposte SAML sono disponibili in questo documento
Accedere AWSSupport-TroubleshootSAMLIssuesa Systems Manager nella sezione Documenti.
Seleziona Execute automation (Esegui automazione).
Per i parametri di input, immettete quanto segue:
- AutomationAssumeRole (Facoltativo):
  - Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a SSM Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
  - Tipo: AWS::IAM::Role::Arn
- InputFileS3URI (richiesto):
  - Descrizione: (Obbligatorio) Amazon Simple Storage Service (Amazon S3) URI del file txt SAML Response (ad esempio, s3://bucket - .txt). name/path/to/file
  - Tipo: String
  - Pattern consentito: ^s3://[a-z0-9][a-z0-9.-][a-z0-9](/.)?$
- S3 OutputPrefix (opzionale):
  - <executionID of the runbook>Descrizione: (Facoltativo) I file di output dell'analisi vengono memorizzati nel bucket di input con il nome 'saml_analysis_ .json'. È possibile utilizzare questo parametro se si desidera generare un file con un prefisso specifico. <executionID of the runbook>Il valore predefinito è «output/», nel qual caso l'URI del file che restituirà il risultato sarà 's3://bucket - name/output/saml _analysis_ .json'.
  - Tipo: String
  - Pattern consentito: ^[a-zA-Z0-9+=,.@\\-_/]*/$
- ExpectedAudience (Facoltativo):
  - Descrizione: (Facoltativo) Valore previsto per il pubblico nella risposta SAML. Se non specificato, utilizziamourn:amazon:webservices. Se hai configurato un valore di audience specifico nella configurazione di IdP e SP, fornisci il formato esatto (ad es.urn:amazon:webservices,https://signin.aws.amazon.com/saml).
  - Tipo: String
  - Impostazione predefinita: urn:amazon:webservices
- IamIdProviderArn (Facoltativo):
  - Descrizione: (Facoltativo) Se utilizzi un'entità IAM ID Provider per collegare direttamente il tuo IdP a AWS IAM, fornisci il relativo ARN (ad es.). arn:aws:iam::<account-id>:saml-provider/<provider-name>
  - Tipo: String
  - Pattern consentito: ^$|^arn:aws:iam::[0-9]{12}:saml-provider/[a-zA-Z0-9_-]+$
- SAMLAuthenticationOra (opzionale):
  - Descrizione: (Facoltativo) La data e l'ora in cui è stata eseguita l'autenticazione SAML. Il fuso orario deve essere UTC. Deve essere in YYYY-MM-DDThh formato:mm:ss (ad esempio, 2025-02-01T 10:00:00). Se questo parametro non viene fornito, i controlli di scadenza verranno eseguiti in base al timestamp corrente.
  - Tipo: String
  - Pattern consentito: ^$|^\\d{4}-(?:0[1-9]|1[0-2])-(?:0[1-9]|[12]\\d|3[01])T(?:[01]\\d|2[0-3]):[0-5]\\d:[0-5]\\d$
- S3 BucketOwnerRoleArn (opzionale):
  - Descrizione: (Facoltativo) IAM Role ARN per accedere ai bucket Amazon S3. L'ARN del ruolo IAM con le autorizzazioni per ottenere le impostazioni di accesso pubblico del bucket Amazon S3 e dell'account, la configurazione della crittografia dei bucket, il bucket, lo stato della policy del bucket e il ACLs caricamento di oggetti nel bucket. Se questo parametro non è specificato, il runbook utilizza `AutomationAssumeRole` (se specificato) o l'utente che avvia questo runbook (se `` non è specificato). AutomationAssumeRole
  - Tipo: AWS::IAM::Role::Arn
Seleziona Esegui.
L'automazione viene avviata.
Il documento esegue le seguenti operazioni:
- Convalida IAMIDProvider
  
  Convalida l'ARN del provider di ID IAM fornito controllando se esiste ed è accessibile. Se non viene fornito alcun ARN, la convalida viene saltata e il passaggio viene completato correttamente.
- Controlla S3 BucketPublicStatus
  
  Verifica se il bucket Amazon S3 consente autorizzazioni di accesso anonime o pubbliche in lettura o scrittura. Se il bucket consente queste autorizzazioni, l'automazione si interrompe in questa fase.
- Controlla S3 ObjectExistence
  
  Convalida l'accesso ai bucket Amazon S3. Verifica se il bucket e l'oggetto esistono e se l'automazione dispone delle autorizzazioni necessarie per leggere dall'origine e scrivere verso la destinazione.
- Analizza SAMLResponse
  
  Analizza il file di risposta SAML eseguendo i controlli (convalida dello schema, verifica della firma, convalida del pubblico, controllo della scadenza). Genera un report JSON dettagliato e lo salva nella posizione Amazon S3 specificata.
Al termine, consulta la sezione Output per i risultati dettagliati dell'esecuzione:
- La sezione Output contiene informazioni sull'oggetto Amazon S3 in cui sono descritti i risultati dell'analisi.
L'oggetto Amazon S3 nei risultati dell'analisi è un file Json contenente le seguenti informazioni:
- validation_result: contiene i risultati di convalida di base della risposta SAML.
  - saml_info: informazioni SAML chiave tra cui emittente, firme e asserzioni.
  - schema_validation: risultati della convalida dello schema SAML.
- verification_result: fornisce risultati diagnostici più dettagliati.
  - firma: risultati della verifica della firma.
  - pubblico: risultati della convalida della restrizione relativa al pubblico.
  - scadenza: risultati della verifica dell'ora di scadenza.

Riferimenti

Systems Manager Automation

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWSSupport-ContainIAMPrincipal

Rilevamento e risposta agli incidenti