Comment puis-je capturer et analyser la réponse SAML pour résoudre les erreurs courantes liées à la fédération SAML 2.0 avec AWS ?

Dernière mise à jour : 22/03/2021

J'utilise Active Directory sur site avec une intégration SAML, mais je ne parviens pas à me connecter à la Console de gestion AWS. Comment puis-je résoudre ce problème ?

Brève description

Si vous utilisez la fédération SAML, assurez-vous que vous avez correctement configuré Active Directory. Pour plus d'informations, consultez Authentification fédérée AWS avec Active Directory Federation Services (AD FS).

Si vous configurez un accès fédéré à vos comptes AWS pour la première fois, il est recommandé d'utiliser le service AWS IAM Identity Center (succédant à AWS Single Sign-On) pour fournir un accès IAM Identity Center géré de manière centralisée à plusieurs comptes AWS.

Pour résoudre les erreurs liées à SAML :

  • Capturez et décodez une réponse SAML à partir du navigateur.
  • Examinez les valeurs dans le fichier décodé.
  • Vérifiez que ces valeurs ne contiennent aucune erreur et confirmez la configuration.

Résolution

Capturer et décoder une réponse SAML

Capturez et décodez une réponse SAML depuis le navigateur, afin de pouvoir examiner les informations envoyées à AWS. Pour connaître les instructions spécifiques à votre navigateur, consultez la section Comment afficher une réponse SAML dans votre navigateur à des fins de dépannage.

Examiner les valeurs dans le fichier décodé

Examinez les valeurs dans le fichier de réponse SAML décodé :

  1. Vérifiez que la valeur de l'attribut saml:NameID correspond au nom d'utilisateur de l'utilisateur authentifié.
  2. Examinez la valeur de https://aws.amazon.com/SAML/Attributes/Role. Les noms ARN (Amazon Resource Names) utilisés pour le rôle et le fournisseur SAML sont sensibles à la casse, et ils doivent correspondre aux ressources de votre compte AWS.
  3. Examinez la valeur de https://aws.amazon.com/SAML/Attributes/RoleSessionName. Assurez-vous que la valeur correspond à la valeur appropriée conformément à la règle de revendication. Si vous configurez la valeur de l'attribut sous forme d'adresse e-mail ou de nom de compte, cette valeur doit correspondre à l'adresse e-mail ou au nom de compte de l'utilisateur Active Directory authentifié.

Vérifier que la valeur ne contient aucune erreur et confirmer la configuration

Vérifiez que ces valeurs ne contiennent aucune erreur, puis assurez-vous que les configurations suivantes sont correctes :

  1. Vérifiez que les règles de revendication sont configurées pour respecter les éléments requis et que tous les noms ARN sont corrects. Pour plus d'informations, consultez la section Configuration de votre IdP SAML 2.0 à l'aide d'une relation d'approbation des parties utilisatrices et ajout de revendications.
  2. Vérifiez que vous avez chargé le fichier de métadonnées le plus récent de votre IdP vers AWS dans votre fournisseur SAML. Pour plus d'informations, consultez Autoriser les utilisateurs fédérés SAML 2.0 à accéder à la Console de gestion AWS.
  3. Vérifiez que vous avez correctement configuré la stratégie d'approbation du rôle AWS IAM (AWS Identity and Access Management). Pour plus d'informations, consultez Modification d'un rôle.
  4. Vérifiez que l'utilisateur Active Directory qui essaie de se connecter à la console est membre du groupe Active Directory qui correspond au rôle IAM.

Pour obtenir une liste d'erreurs communes, consultez Résolution des problèmes liés à la fédération SAML 2.0 avec AWS. Si vous configurez des règles de revendication dans Active Directory, veillez à configurer les assertions SAML pour les réponses d'authentification afin d'identifier les valeurs et attributs clés requis par AWS.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?