Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie Ihren SAML 2.0-IdP mit dem Vertrauen der Vertrauensperson und dem Hinzufügen von Ansprüchen
Wenn Sie einen IAM-Identitätsanbieter und die Rolle für den SAML-Zugriff erstellen, teilen Sie AWS mit, wer der externe Identitätsanbieter (Identity Provider, IdP) ist und was seine Benutzer tun dürfen. Ihr nächster Schritt besteht dann darin, dem IdP von seiner Rolle AWS als Dienstanbieter zu erzählen. Dieser Vorgang wird als Hinzufügen der Vertrauensstellung für die vertrauenden Seiten zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Der genaue Prozess des Hinzufügens der Vertrauensstellung für die vertrauende Seite hängt davon ab, welchen Identitätsanbieter Sie verwenden. Weitere Informationen finden Sie in der Dokumentation Ihrer Identitätsverwaltungssoftware.
In vielen IdPs Fällen können Sie eine URL angeben, über die der IdP ein XML-Dokument lesen kann, das Informationen und Zertifikate der vertrauenden Partei enthält. Verwenden Sie für AWShttps:// oderregion-code.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml. Eine Liste möglicher Werte für region-code finden Sie in der Spalte Region unter AWS Sign-In endpoints (-Anmelde-Endpunkte).
Wenn Sie eine URL nicht direkt angeben können, laden Sie das XML-Dokument von der vorangegangenen URL herunter und importieren Sie es in Ihre Identitätsanbietersoftware.
Sie müssen auch entsprechende Anspruchsregeln in Ihrem IdP erstellen, die angeben AWS , dass es sich um eine vertrauende Partei handelt. Wenn der IdP eine SAML-Antwort an den AWS Endpunkt sendet, enthält diese eine SAML-Assertion, die einen oder mehrere Ansprüche enthält. Bei einem Anspruch handelt es sich um Informationen über den Benutzer und seine Gruppen. Eine Anspruchsregel ordnet diese Informationen in SAML-Attributen zu. Auf diese Weise können Sie sicherstellen, dass die SAML-Authentifizierungsantworten Ihres IdP die erforderlichen Attribute enthalten, die in IAM-Richtlinien zur Überprüfung der Berechtigungen für Verbundbenutzer AWS verwendet werden. Weitere Informationen finden Sie unter den folgenden Themen:
-
Überblick über die Rolle, die den SAML föderierten Zugriff auf Ihre Ressourcen ermöglicht AWS. In diesem Thema erfahren Sie, wie SAML-spezifische Schlüssel in IAM-Richtlinien verwendet werden und wie sie genutzt werden, um Berechtigungen für SAML-Verbundbenutzer einzuschränken.
-
SAMLAssertionen für die Authentifizierungsantwort konfigurieren. In diesem Thema wird erklärt, wie SAML-Ansprüche konfiguriert werden, die Informationen über den Benutzer enthalten. Die Ansprüche sind in einer SAML-Zusicherung gebündelt und in der SAML-Antwort, die an AWS gesendet wird, enthalten. Sie müssen sicherstellen, dass die AWS für Richtlinien erforderlichen Informationen in der SAML-Assertion in einer Form enthalten sind, die erkannt und verwendet werden kann. AWS
-
Integrieren Sie SAML-Lösungsanbieter von Drittanbietern mit AWS. Dieses Thema enthält Links zu Dokumentationen von Drittanbietern zur Integration von Identitätslösungen mit AWS.
Anmerkung
Um die Verbundstabilität zu verbessern, empfehlen wir, dass Sie Ihren IdP und Ihren AWS
-Verbund so konfigurieren, dass mehrere SAML-Anmeldeendpunkte unterstützt werden. Einzelheiten finden Sie im AWS Sicherheitsblogartikel How to use regional SAML endpoints for
