Comment puis-je capturer et analyser la réponse SAML pour dépanner des erreurs courantes liées à la fédération SAML 2.0 avec AWS ?

Date de la dernière mise à jour : 09/07/2019

J'utilise un répertoire Active Directory local avec une intégration SAML, mais je ne parviens pas à me connecter à l'AWS Management Console. Comment résoudre ce problème ?

Brève description

Si vous utilisez la fédération SAML, vous devez d'abord vous assurer que vous avez correctement configuré Active Directory. Pour plus d'informations, consultez la section Activer la fédération dans AWS en utilisant Windows Active Directory, ADFS et SAML 2.0.

Si vous configurez un accès fédéré à vos comptes AWS pour la première fois, il est recommandé d'utiliser le service AWS Single Sign-On pour fournir un accès SSO géré de manière centralisée à plusieurs comptes AWS.

Pour résoudre les erreurs liées à SAML :

  • Capturez et décodez une réponse SAML à partir du navigateur.
  • Examinez les valeurs dans le fichier décodé.
  • Vérifiez que ces valeurs ne contiennent aucune erreur et confirmez la configuration.

Résolution

Capturer et décoder une réponse SAML

Capturez et décodez une réponse SAML depuis le navigateur, afin de pouvoir examiner les informations envoyées à AWS. Pour obtenir des instructions spécifiques à votre navigateur, consultez la section Comment afficher une réponse SAML dans votre navigateur à des fins de dépannage.

Examiner les valeurs dans le fichier décodé

Examinez les valeurs dans le fichier de réponse SAML décodé :

  1. Vérifiez que la valeur de l'attribut saml:NameID correspond au nom d'utilisateur de l'utilisateur authentifié.
  2. Examinez la valeur de https://aws.amazon.com/SAML/Attributes/Role. L'ARN du rôle et l'ARN du fournisseur SAML sont sensibles à la casse, et les ARN doivent correspondre aux ressources dans votre compte AWS.
  3. Examinez la valeur de https://aws.amazon.com/SAML/Attributes/RoleSessionName. Assurez-vous que la valeur correspond à la valeur appropriée conformément à la règle de revendication que vous avez créée. Si vous configurez la valeur de l'attribut afin qu'elle corresponde à une adresse e-mail ou à un nom de compte, cette valeur doit correspondre à l'adresse e-mail ou au nom de compte de l'utilisateur Active Directory authentifié.

Vérifier que la valeur ne contient aucune erreur et confirmer la configuration

Vérifiez que ces valeurs ne contiennent aucune erreur, puis confirmez que les configurations suivantes sont correctes :

  1. Confirmez que les règles de revendication sont configurées pour respecter les éléments requis et que tous les ARN sont corrects. Pour plus d'informations, consultez la section Configuration de votre IdP SAML 2.0 à l'aide d'une relation d'approbation des parties utilisatrices et ajout de requêtes.
  2. Confirmez que vous avez chargé le fichier de métadonnées le plus récent depuis votre IdP sur AWS dans votre fournisseur SAML. Pour plus d'informations, consultez la section Activation de l'accès des utilisateurs fédérés SAML 2.0 à l'AWS Management Console.
  3. Confirmez que vous avez correctement configuré la stratégie d'approbation du rôle AWS IAM. Pour plus d'informations, consultez la section Modification d'un rôle.
  4. Confirmez que l'utilisateur Active Directory qui essaie de se connecter à la console est un membre du groupe Active Directory qui correspond au rôle IAM.

Pour obtenir une liste d'erreurs communes, consultez la section Dépannage sur la fédération SAML 2.0 avec AWS. Si vous configurez des règles de revendication dans Active Directory, assurez-vous de configurer les assertions SAML pour les réponses d'authentification afin d'identifier les valeurs et attributs clés qu'AWS demande..


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?