Voraussetzungen IAM-SAML-Identitätsanbieter erstellen und verwalten (Konsole)Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)IAM-SAML-Identitätsanbieter (AWS-API) erstellen und verwalten Nächste Schritte

Erstellen eines SAML-Identitätsanbieters in IAM

Ein IAM-SAML 2.0-Identitätsanbieter ist eine Entität in IAM, die einen externen Identitätsanbieter-Service (Identity Provider, IdP) beschreibt, der den Standard SAML 2.0 (Security Assertion Markup Language 2.0) unterstützt. Sie verwenden einen IAM-Identität sanbieter, um eine Vertrauensstellung zwischen SAML-kompatiblen Identitätsanbietern wie Shibboleth oder Active Directory Federation Services und AWS aufzubauen, damit Benutzer in Ihrer Organisation auf AWS IAM-Ressourcen zugreifen können. IAM-SAML-Identitätsanbieter werden als Auftraggeber in einer IAM-Vertrauensrichtlinie verwendet.

Weitere Informationen zu diesem Szenario finden Sie unter SAML 2.0-Verbund.

Sie können einen IAM-Identitätsanbieter in der AWS Management Consoleoder mit AWS CLI, Tools for Windows PowerShell oder AWS-API-Aufrufen erstellen und verwalten.

Nach dem Erstellen eines SAML-Anbieters müssen Sie eine oder mehrere IAM-Rollen erstellen. Eine Rolle ist eine Identität in AWS, die im Unterschied zu einem Benutzer keine eigenen Anmeldeinformationen hat. Aber in diesem Kontext ist eine Rolle dynamisch einem Verbundbenutzer zugewiesen, der vom Identitätsanbieter der Organisation authentifiziert wird. Die Rolle ermöglicht es dem Identitätsanbieter Ihres Unternehmens, temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS anzufordern. Die der Rolle zugewiesenen Richtlinien bestimmen, welche Aktionen die Verbundbenutzer in ausführen können AWS. Weitere Informationen zum Erstellen einer Rolle für den SAML-Verbund finden Sie unter Rollen für externe Identitätsanbieter (Verbund) erstellen.

Nachdem Sie die Rolle erstellt haben, stellen Sie abschließend die SAML-Vertrauensstellung fertig, indem Sie den Identitätsanbieter mit Informationen zu AWS und zu den Rollen konfigurieren, die der Verbundbenutzer verwenden soll. Dies wird als Konfiguration der Vertrauensstellung zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Weitere Informationen zum Konfigurieren der Vertrauensstellung für die vertrauende Seite finden Sie unter Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen.

Themen

Voraussetzungen
IAM-SAML-Identitätsanbieter erstellen und verwalten (Konsole)
Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)
IAM-SAML-Identitätsanbieter (AWS-API) erstellen und verwalten
Nächste Schritte

Voraussetzungen

Bevor Sie einen SAML-Identitätsanbieter erstellen können, benötigen Sie die folgenden Informationen von Ihrem IdP.

Rufen Sie das SAML-Metadatendokument von Ihrem IdP ab. Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Verwenden Sie zum Generieren des Metadatendokuments die von Ihrem externen IdP bereitgestellte Identitätsverwaltungs-Software.

Wichtig
Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad++ als UTF-8 codieren.
Das x.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das x.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das x.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IdP-Erstellung fehl und gibt den Fehler „Unable to parse metadata“ (Metadaten können nicht analysiert werden) zurück.
Gemäß der Definition im SAML V2.0 Metadata Interoperability Profile Version 1.0 bewertet IAM den Ablauf des X.509-Zertifikats des Metadatendokuments weder, noch ergreift es entsprechende Maßnahmen.

Anleitungen zum Konfigurieren der vielen verfügbaren Identitätsanbieter für die Zusammenarbeit mit AWS sowie zum Generieren des erforderlichen SAML-Metadatendokuments finden Sie unter Integration von Drittanbietern von SAML-Lösungen mit AWS.

Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

IAM-SAML-Identitätsanbieter erstellen und verwalten (Konsole)

Mit der AWS Management Console können Sie IAM SAML-Identitätsanbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-SAML-Identitätsanbieter (Konsole)

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter erstellen.
Wählen Sie für die Anbieterkonfiguration SAML.
Geben Sie einen Namen für den Identitätsanbieter ein.
Klicken Sie unter Metadaten-Dokument auf Datei auswählen und geben Sie das SAML-Metadatendokument an, das Sie unter Voraussetzungen heruntergeladen haben.
(Optional) Für Add tags (Tags hinzufügen) können Sie Schlüsselwertpaare hinzufügen, die Ihnen bei der Identifizierung und Organisation Ihrer Identitätsanbieter helfen. Sie können auch Tags verwenden, um den Zugriff auf AWS-Ressourcen zu steuern. Weitere Informationen zum Markieren von SAML-Identitätsanbietern finden Sie unter Markieren von IAM-SAML-Identitätsanbieter.

Wählen Sie Add tag. Geben Sie Werte für jedes Tag-Schlüsselwertpaar ein.
Verifizieren Sie die angegebenen Informationen. Wenn Sie fertig sind, wählen Sie Anbieter hinzufügen.
Weisen Sie Ihrem Identitätsanbieter eine IAM-Rolle zu. Diese Rolle gewährt externen Benutzeridentitäten, die von Ihrem Identitätsanbieter verwaltet werden, Berechtigungen für den Zugriff auf AWS-Ressourcen in Ihrem Konto. Weitere Informationen zum Erstellen von Rollen für den Identitätsverbund finden Sie unter Rollen für externe Identitätsanbieter (Verbund) erstellen.

Anmerkung
SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

So löschen Sie einen SAML-Anbieter (Konsole)

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Identitätsanbieter.
Aktivieren Sie das Kontrollkästchen neben dem Identitätsanbieter, den Sie löschen möchten.
Wählen Sie Löschen. Ein neues Fenster wird geöffnet.
Bestätigen Sie, dass Sie den Anbieter löschen möchten, indem Sie das Wort delete in das Feld eingeben. Wählen Sie dann Löschen.

Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)

Mit der AWS CLI können Sie SAML-Anbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument hoch (AWS CLI)

Führen Sie diesen Befehl aus: aws iam create-saml-provider

So aktualisieren Sie einen IAM SAML-Identitätsanbieter (AWS CLI)

Führen Sie diesen Befehl aus: aws iam update-saml-provider

Markieren eines vorhandenen IAM-Identitätsanbieters (AWS CLI)

Führen Sie diesen Befehl aus: aws iam tag-saml-provider

Auflisten von Tags für bestehenden IAM-Identitätsanbieter (AWS CLI)

Führen Sie diesen Befehl aus: aws iam list-saml-provider-tags

Entfernen von Tags auf einem bestehenden IAM-Identitätsanbieter (AWS CLI)

Führen Sie diesen Befehl aus: aws iam untag-saml-provider

So löschen Sie einen IAM-SAML-Identitätsanbieter (AWS CLI)

(Optional) Führen Sie zum Auflisten der Informationen für alle Anbieter (z. B. ARN, Erstellungsdatum und Ablaufdatum) folgenden Befehl aus:
- aws iam list-saml-providers
(Optional) Um Informationen zu einem bestimmten Anbieter abzurufen, z. B. ARN, Erstellungsdatum, Ablaufdatum, Verschlüsselungseinstellungen und Informationen zum privaten Schlüssel, führen Sie den folgenden Befehl aus:
- aws iam get-saml-provider
Führen Sie zum Löschen eines IAM-Identitätsanbieters den folgenden Befehl aus:
- aws iam delete-saml-provider

IAM-SAML-Identitätsanbieter (AWS-API) erstellen und verwalten

Mit der AWS-API können Sie SAML-Anbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument hoch (AWS-API)

Rufen Sie diese Operation auf: CreateSAMLProvider

So aktualisieren Sie einen IAM-SAML-Identitätsanbieter (AWS-API)

Rufen Sie diese Operation auf: UpdateSAMLProvider

Markieren eines vorhandenen IAM-Identitätsanbieters (AWS-API)

Rufen Sie diese Operation auf: TagSAMLProvider

Auflisten von Tags für einen bestehenden IAM-Identitätsanbieter (AWS-API)

Rufen Sie diese Operation auf: ListSAMLProviderTags

Entfernen von Tags auf einem bestehenden IAM-Identitätsanbieter (AWS-API)

Rufen Sie diese Operation auf: UntagSAMLProvider

So löschen Sie einen IAM-Identitätsanbieter (AWS-API)

(Optional) Rufen Sie zum Auflisten der Informationen (z. B. ARN, Erstellungsdatum und Ablaufdatum) für alle Identitätsanbieter folgende Operation auf:
- ListSAMLProviders
(Optional) Um Informationen zu einem bestimmten Anbieter abzurufen, z. B. ARN, Erstellungsdatum, Ablaufdatum, Verschlüsselungseinstellungen und private Schlüsselinformationen, rufen Sie die folgende Operation auf:
- GetSAMLProvider
Rufen Sie zum Löschen eines Identitätsanbieters die folgende Operation auf:
- DeleteSAMLProvider

Nächste Schritte

Nachdem Sie einen SAML-Identitätsanbieter erstellt haben, richten Sie die Vertrauensstellung der vertrauenden Partei mit Ihrem IdP ein. Sie können auch Anträge aus der Authentifizierungsantwort Ihres IdP in Richtlinien verwenden, um den Zugriff auf eine Rolle zu steuern.

Sie müssen den IdP über AWS als Service-Anbieter informieren. Dieser Vorgang wird als Hinzufügen der Vertrauensstellung für die vertrauenden Seiten zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Der genaue Prozess des Hinzufügens der Vertrauensstellung für die vertrauende Seite hängt davon ab, welchen Identitätsanbieter Sie verwenden. Details hierzu finden Sie unter Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen.
Wenn der Identitätsanbieter die Antwort mit den Ansprüche an AWS sendet, werden viele der eingehenden Ansprüche AWS-Kontextschlüsseln zugeordnet. Sie können diese Kontextschlüssel in IAM-Richtlinien mithilfe des Bedingungselements verwenden, um den Zugriff auf eine Rolle zu steuern. Details hierzu finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SAML 2.0-Verbund

Vertrauensstellung und Anträge der vertrauenden Seite konfigurieren