Comment puis-je capturer et analyser la réponse SAML pour résoudre les erreurs courantes liées à la fédération SAML 2.0 avec AWS ?

Lecture de 3 minute(s)
0

J'utilise Active Directory sur site avec une intégration SAML, mais je ne parviens pas à me connecter à la Console de gestion AWS.

Brève description

Si vous utilisez la fédération SAML, assurez-vous que vous avez correctement configuré Active Directory. Pour plus d'informations, consultez Authentification fédérée AWS avec Active Directory Federation Services (AD FS).

Si vous configurez un accès fédéré à vos comptes AWS pour la première fois, il est recommandé d'utiliser le service AWS IAM Identity Center (succédant à AWS Single Sign-On) pour fournir un accès IAM Identity Center géré de manière centralisée à plusieurs comptes AWS.

Pour résoudre les erreurs liées à SAML :

  • Capturez et décodez une réponse SAML à partir du navigateur.
  • Examinez les valeurs dans le fichier décodé.
  • Vérifiez que ces valeurs ne contiennent aucune erreur et confirmez la configuration.

Résolution

Capturer et décoder une réponse SAML

Capturez et décodez une réponse SAML depuis le navigateur, afin de pouvoir examiner les informations envoyées à AWS. Pour connaître les instructions spécifiques à votre navigateur, consultez la section Comment afficher une réponse SAML dans votre navigateur à des fins de dépannage.

Examiner les valeurs dans le fichier décodé

Examinez les valeurs du fichier de réponse SAML décodé :

1.    Vérifiez que la valeur de l'attribut saml:NameID correspond au nom d'utilisateur de l'utilisateur authentifié.

2.    Examinez la valeur de https://aws.amazon.com/SAML/Attributes/Role. Les Amazon Resource Names (ARN) (français non garanti) utilisés pour le rôle et le fournisseur SAML sont sensibles à la casse. De plus, ils doivent correspondre aux ressources de votre compte AWS.

3.    Examinez la valeur de https://aws.amazon.com/SAML/Attributes/RoleSessionName. Assurez-vous que la valeur correspond à la valeur appropriée conformément à la règle de revendication. Si vous configurez la valeur de l'attribut sous forme d'adresse e-mail ou de nom de compte, cette valeur doit correspondre à l'adresse e-mail ou au nom de compte de l'utilisateur Active Directory authentifié.

Vérifier que la valeur ne contient aucune erreur et confirmer la configuration

Vérifiez que ces valeurs ne contiennent aucune erreur, puis assurez-vous que les configurations suivantes sont correctes :

1.    Vérifiez que les règles de revendication sont configurées de manière à respecter les éléments requis et que tous les noms ARN sont corrects. Pour plus d'informations, veuillez consulter la section Configuration de votre IdP SAML 2.0 à l'aide d'une relation d'approbation des parties utilisatrices et ajout de demandes.

2.    Vérifiez que vous avez chargé le fichier de métadonnées le plus récent de votre IdP (fournisseur d'identité) vers AWS dans votre fournisseur SAML. Pour plus d'informations, veuillez consulter la section Activation de l'accès des utilisateurs fédérés SAML 2.0 à la Console de gestion AWS.

3.    Vérifiez que vous avez correctement configuré la politique d'approbation du rôle AWS IAM (Gestion des identités et des accès AWS). Pour plus d'informations, veuillez consulter la section Modification d'un rôle.

4.    Vérifiez que l'utilisateur Active Directory essayant de se connecter à la console est membre du groupe Active Directory correspondant au rôle IAM.

Pour obtenir une liste d'erreurs communes, consultez Résolution des problèmes liés à la fédération SAML 2.0 avec AWS. Si vous configurez des règles de revendication dans Active Directory, veillez à configurer les assertions SAML pour les réponses d'authentification afin d'identifier les valeurs et attributs clés requis par AWS.


AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 ans