如何擷取及分析 SAML 回應，以疑難排解 AWS SAML 2.0 聯合的常見錯誤？

簡短描述

如果您使用的是 SAML 聯合，請確定您已正確設定 Active Directory。如需詳細資訊，請參閱使用 Active Directory 同盟服務 (AD FS) 的 AWS 聯合身份驗證。

如果您是第一次設定 AWS 帳戶的聯合存取權限，最佳實務是使用 AWS IAM Identity Center (AWS Single Sign-On 的後繼者) 服務，為多個 AWS 帳戶提供集中管理的 IAM Identity Center 存取權。

若要疑難排解 SAML 相關錯誤：

• 從瀏覽器擷取並解碼 SAML 回應。
• 檢閱解碼檔案的值。
• 檢查是否有錯誤，然後確認組態。

解決方法

擷取並解碼 SAML 回應

從瀏覽器擷取並解碼 SAML 回應，然後檢閱傳送至 AWS 的資訊。如需瀏覽器特定的指示，請參閱如何在瀏覽器檢視 SAML 回應以進行疑難排解。

檢閱解碼檔案的值

檢閱已解碼之 SAML 回應檔案的值：

1.    確認 saml:NameID 屬性的值與已驗證使用者的使用者名稱相符。

2.    檢閱以下項目的值：https://aws.amazon.com/SAML/Attributes/Role。角色及 SAML 提供者的 Amazon Resource Name (ARN) 區分大小寫，且 ARN 必須與您的 AWS 帳戶的資源相符。

3.    檢閱以下項目的值：https://aws.amazon.com/SAML/Attributes/RoleSessionName。請確定該值符合宣告規則的正確值。如果您將屬性值設定為電子郵件地址或帳戶名稱，該值必須對應至已驗證 Active Directory 使用者的電子郵件地址或帳戶名稱。

檢查錯誤並確認組態

檢查這些值是否有任何錯誤，並確認下列組態是否正確：

1.    確認宣告規則已設定為符合所需元素，並確認所有 ARN 皆為正確。如需詳細資訊，請參閱使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告。

2.    確認您已在 SAML 提供者中將來自 IdP 的最新中繼資料檔案上傳至 AWS。如需詳細資訊，請參閱允許 SAML 2.0 聯合身分使用者存取 AWS 管理主控台。

3.    確認您已正確設定 AWS Identity and Access Management (IAM) 角色的信任政策。如需詳細資訊，請參閱修改角色。

4.    確認嘗試登入主控台的 Active Directory 使用者是與 IAM 角色對應的 Active Directory 群組的成員。

如需常見錯誤的清單，請參閱疑難排解 AWS SAML 2.0 聯合。如果您要在 Active Directory 設定宣告規則，請務必為身分驗證回應設定 SAML 聲明，以識別 AWS 所需的主要屬性與值。

---