Wie kann ich die SAML-Antwort erfassen und analysieren, um häufig auftretende Fehler mit dem SAML 2.0-Verbund mit AWS zu beheben?

Lesedauer: 3 Minute
0

Ich verwende On-Premises-Active-Directory mit SAML-Integration, kann aber keine Verbindung zur AWS-Managementkonsole herstellen.

Kurzbeschreibung

Wenn Sie den SAML-Verbund verwenden, stellen Sie sicher, dass Sie Active Directory korrekt konfiguriert haben. Weitere Informationen finden Sie unter AWS-Verbundauthentifizierung mit Active Directory Federation Services (AD FS).

Wenn Sie zum ersten Mal den Verbundzugriff auf Ihre AWS-Konten einrichten, empfiehlt es sich, den Dienst AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) zu verwenden, um zentral verwalteten IAM Identity Center-Zugriff auf mehrere AWS-Konten bereitzustellen.

Um SAML-bezogene Fehler zu beheben:

  • Erfassen und dekodieren Sie eine SAML-Antwort vom Browser.
  • Überprüfen Sie die Werte in der dekodierten Datei.
  • Überprüfen Sie, ob Fehler vorliegen, und bestätigen Sie dann die Konfiguration.

Lösung

Erfassen und dekodieren Sie eine SAML-Antwort

Erfassen und dekodieren Sie eine SAML-Antwort vom Browser und überprüfen Sie dann die an AWS gesendeten Informationen. Browserspezifische Anweisungen zur Fehlerbehebung finden Sie unter So zeigen Sie eine SAML-Antwort in Ihrem Browser an.

Überprüfen Sie die Werte in der dekodierten Datei

Überprüfen Sie die Werte in der dekodierten SAML-Antwortdatei:

1.Stellen Sie sicher, dass der Wert für das Attribut saml:NameID mit dem Benutzernamen des authentifizierten Benutzers übereinstimmt.

2.Überprüfen Sie den Wert für https://aws.amazon.com/SAML/Attributes/Role. Bei den Amazon-Ressourcennamen (ARNs) für die Rolle und den SAML-Anbieter wird zwischen Groß- und Kleinschreibung unterschieden und die ARNs müssen mit den Ressourcen in Ihrem AWS-Konto übereinstimmen.

3.Überprüfen Sie den Wert für https://aws.amazon.com/SAML/Attributes/RoleSessionName. Stellen Sie sicher, dass der Wert mit dem korrekten Wert der Anspruchsregel übereinstimmt. Wenn Sie den Attributwert als E-Mail-Adresse oder Kontonamen konfigurieren, muss der Wert der E-Mail-Adresse oder dem Kontonamen des authentifizierten Active Directory-Benutzers entsprechen.

Suchen Sie nach Fehlern und bestätigen Sie die Konfiguration

Überprüfen Sie, ob bei einem dieser Werte Fehler aufgetreten sind, und stellen Sie sicher, dass die folgenden Konfigurationen korrekt sind:

1.Vergewissern Sie sich, dass die Anspruchsregeln so konfiguriert sind, dass sie die erforderlichen Elemente erfüllen und dass alle ARNs korrekt sind. Weitere Informationen finden Sie unter Konfiguration Ihres SAML 2.0-IdP mit Relying Party Trust und Hinzufügen von Ansprüchen.

2.Stellen Sie sicher, dass Sie die neueste Metadatendatei von Ihrem IdP in AWS bei Ihrem SAML-Anbieter hochgeladen haben. Weitere Informationen finden Sie unter Zulassen des Zugriffs auf die AWS-Managementkonsole durch SAML 2.0-Verbundbenutzer.

3.Vergewissern Sie sich, dass die Vertrauensrichtlinie der AWS Identity and Access Management (IAM)-Rolle korrekt konfiguriert ist. Weitere Informationen finden Sie unter Rolle ändern.

4.Vergewissern Sie sich, dass der Active Directory-Benutzer, der versucht, sich bei der Konsole anzumelden, Mitglied der Active Directory-Gruppe ist, die der IAM-Rolle entspricht.

Eine Liste der häufigsten Fehler finden Sie unter Problembehandlung des SAML 2.0-Verbunds mit AWS. Wenn Sie Anspruchsregeln in Active Directory konfigurieren, stellen Sie sicher, dass Sie SAML-Aussagen für die Authentifizierungsantworten konfigurieren, um die wichtigsten Attribute und Werte zu identifizieren, die AWS benötigt.


AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren