Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console - AWS Identitäts- und Zugriffsverwaltung
ÜbersichtKonfigurieren Sie Ihr Netzwerk als SAML-Anbieter für AWSErstellen eines SAML-Anbieters in IAMKonfigurieren Sie die Berechtigungen AWS für Ihre VerbundbenutzerKonfiguration beenden und SAML-Zusicherungen erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console

Sie können eine Rolle verwenden, um Ihren SAML 2.0-kompatiblen Identitätsanbieter (IdP) zu konfigurieren und Ihren Verbundbenutzern den Zugriff AWS auf zu ermöglichen. AWS Management Console Die Rolle gewährt dem Benutzer die Berechtigung, bestimmte Aufgaben in der Konsole auszuführen. Wenn Sie verbundenen SAML-Benutzern anderweitig Zugriff auf AWS gewähren möchten, beachten Sie die folgenden Themen:

Übersicht

Die folgende Abbildung zeigt den Ablauf von SAML-fähigem Single-Sign-On-Zugriff.

Anmerkung

Diese spezielle Verwendung von SAML unterscheidet sich von der allgemeineren Verwendung, die unter dargestellt istSAML 2.0-Verbund, da dieser Workflow das AWS Management Console im Namen des Benutzers öffnet. Hierfür müssen Sie den AWS -Anmelde-Endpunkt verwenden, statt die AssumeRoleWithSAML-API direkt aufzurufen. Der Endpunkt ruft die API für den Benutzer auf und gibt eine URL zurück, über die der Browser des Benutzers automatisch an die AWS Management Console geleitet wird.

Single Sign-On (SSO) für die AWS Management Console mithilfe von SAML

Die Abbildung zeigt die folgenden Schritte:

  1. Der Benutzer öffnet das Portal Ihrer Organisation und wählt die Option aus, zur AWS Management Console zu wechseln. In Ihrer Organisation ist das Portal in der Regel eine Funktion Ihres IdP, der den Vertrauensaustausch zwischen Ihrer Organisation und AWS abwickelt. Die Portal-URL für Active Directory Federation Services lautet beispielsweise: https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspx.

  2. Das Portal überprüft die Identität des Benutzers in Ihrer Organisation.

  3. Das Portal generiert eine SAML-Authentifizierungsantwort, die eine Zusicherung enthält, über die der Benutzer identifiziert wird und die Attribute zu dem Benutzer enthält. Sie können in der Konfiguration Ihres Identitätsanbieters das SAML-Zusicherungsattribut SessionDuration aufnehmen, um die maximale Länge der Konsolensitzung festzulegen. Sie können den Identitätsanbieter auch so konfigurieren, dass Attribute als Sitzungs-Tags übergeben werden. Das Portal sendet diese Antwort an den Client-Browser.

  4. Der Client-Browser wird zum AWS Single Sign-On-Endpunkt umgeleitet und veröffentlicht die SAML-Assertion.

  5. Der Endpunkt fordert temporäre Sicherheitsanmeldeinformationen für den Benutzer an und erstellt eine Konsolenanmelde-URL, in der diese Anmeldeinformationen verwendet werden.

  6. AWS sendet die Anmelde-URL als Umleitung zurück an den Client.

  7. Der Client-Browser wird an die AWS Management Console weitergeleitet. Wenn die SAML-Authentifizierungsantwort Attribute enthält, die mehrere IAM-Rollen abbilden, wird der Benutzer zunächst aufgefordert, die Rolle für den Zugriff auf die Konsole auszuwählen.

Aus Sicht des Benutzers läuft der Prozess transparent ab: Der Benutzer beginnt im internen Portal Ihrer Organisation und endet am Ende im AWS Management Console, ohne jemals Anmeldeinformationen angeben zu müssen. AWS

Die folgenden Abschnitte enthalten einen Überblick über die Konfiguration dieses Verhaltens sowie Links zu detaillierten Anleitungen.

Konfigurieren Sie Ihr Netzwerk als SAML-Anbieter für AWS

Konfigurieren Sie im Netzwerk Ihrer Organisation den Identitätsspeicher (z. B. Windows Active Directory) für die Zusammenarbeit mit einem SAML-basierten Identitätsanbieter, wie etwa Windows Active Directory Federation Services, Shibboleth usw. Mithilfe Ihres Identitätsanbieters generieren Sie ein Metadatendokument, in dem Ihre Organisation als Identitätsanbieter beschrieben wird und das Authentifizierungsschlüssel enthält. Sie konfigurieren das Portal Ihrer Organisation auch so, dass Benutzeranfragen für die Authentifizierung mithilfe von SAML-Assertionen AWS Management Console an den AWS SAML-Endpunkt weitergeleitet werden. Die konkrete Konfiguration des Identitätsanbieters zur Bereitstellung der Datei metadata.xml ist abhängig von Ihrem Identitätsanbieter. Eine Anleitung finden Sie in der Dokumentation Ihres Identitätsanbieters. Unter Integrieren Sie SAML-Lösungsanbieter von Drittanbietern mit AWS finden Sie Links zur Onlinedokumentation für viele unterstützte SAML-Anbieter.

Erstellen eines SAML-Anbieters in IAM

Als Nächstes melden Sie sich bei der an AWS Management Console und gehen zur IAM-Konsole. Erstellen Sie dort einen neuen SAML-Anbieter. Dabei handelt es sich um eine Entität in IAM, in der die Informationen zum Identitätsanbieter Ihrer Organisation gespeichert sind. Laden Sie in diesem Prozess das Metadatendokument hoch, das von der Identitätsanbieter-Software Ihrer Organisation wie im vorherigen Abschnitt erwähnt erstellt wurde. Details hierzu finden Sie unter Erstellen eines SAML-Identitätsanbieters in IAM.

Konfigurieren Sie die Berechtigungen AWS für Ihre Verbundbenutzer

Im nächsten Schritt erstellen Sie eine IAM-Rolle, die eine Vertrauensbeziehung zwischen Ihrer IAM und der IdP Ihrer Organisation einrichtet. Diese Rolle muss Ihren Identitätsanbieter als Auftraggeber (vertrauenswürdige Entität) für die Zwecke des Identitätsverbunds identifizieren. Die Rolle definiert auch, was Benutzer, die vom IdP Ihrer Organisation authentifiziert wurden, tun dürfen. AWS Sie können diese Rolle mit der IAM-Konsole erstellen. Beim Erstellen der Vertrauensrichtlinie, die angibt, wer die Rolle übernehmen kann, geben Sie den SAML-Anbieter an, den Sie zuvor in IAM erstellt haben. Sie geben auch ein oder mehrere SAML-Attribute an, denen ein Benutzer entsprechen muss, um die Rolle übernehmen zu dürfen. Sie können beispielsweise festlegen, dass sich nur Benutzer, deren SAML-eduPersonOrgDN-Wert ExampleOrg lautet, anmelden können. Der Rollenassistent fügt automatisch eine Bedingung hinzu, um das Attribut saml:aud zu testen und sicherzustellen, dass die Rolle nur zur Anmeldung bei der AWS Management Console verwendet wird.

Wenn eine SAML-Verschlüsselung erforderlich ist, muss die Anmelde-URL die eindeutige Kennung enthalten, die Ihrem SAML-Anbieter AWS zugewiesen wurde. Diese finden Sie auf der Detailseite des Identitätsanbieters. Die Vertrauensrichtlinie für die Rolle kann wie folgt aussehen:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/ExampleOrgSSOProvider"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://region-code.signin.aws.amazon.com/saml/acs/SAMLSP4SHN3UIS2D558H46"
    }}
  }]
}
Anmerkung

SAML, das in einer Rollenvertrauensrichtlinie IDPs verwendet wird, muss sich in demselben Konto befinden, in dem sich die Rolle befindet.

Wir empfehlen die Verwendung regionaler Endpunkte für das saml:aud Attribut at. https://region-code.signin.aws.amazon.com/static/saml-metadata.xml Eine Liste möglicher region-code Werte finden Sie in der Spalte Region unter AWS Anmelde-Endpunkte.

Für die Berechtigungsrichtlinie in der Rolle geben Sie Berechtigungen wie für beliebige andere Rollen, Benutzer oder Gruppen auch an. Wenn Benutzer aus Ihrer Organisation beispielsweise EC2 Amazon-Instances verwalten dürfen, erlauben Sie in der Berechtigungsrichtlinie ausdrücklich EC2 Amazon-Aktionen. Sie können dies tun, indem Sie eine verwaltete Richtlinie zuweisen, z. B. die verwaltete Amazon EC2 Full Access-Richtlinie.

Weitere Informationen zum Erstellen von Rollen für SAML-Identitätsanbieter finden Sie unter Rollen für den SAML 2.0-Verbund erstellen (Konsole).

Konfiguration beenden und SAML-Zusicherungen erstellen

Informieren Sie Ihren SAML-IdP, AWS Ihren Dienstanbieter, indem Sie die saml-metadata.xml Datei installieren, die Sie unter https://region-code.signin.aws.amazon.com/static/saml-metadata.xml oder finden. https://signin.aws.amazon.com/static/saml-metadata.xml Wenn eine SAMl Verschlüsselung erforderlich ist, finden Sie die Datei unter. https://region-code.signin.aws.amazon.com/static/saml/SAMLSP4SHN3UIS2D558H46/saml-metadata.xml

Eine Liste möglicher region-code Werte finden Sie in der Spalte Region unter AWS Anmelde-Endpunkte.

Wie Sie diese Datei installieren, ist abhängig von Ihrem Identitätsanbieter. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen. Eine Anleitung finden Sie in der Dokumentation Ihres Identitätsanbieters. Unter Integrieren Sie SAML-Lösungsanbieter von Drittanbietern mit AWS finden Sie Links zur Onlinedokumentation für viele unterstützte SAML-Anbieter.

Konfigurieren Sie auch die Informationen, die der Identitätsanbieter als SAML-Attribute an AWS als Teil der Authentifizierungsantwort übergeben soll. Die meisten dieser Informationen werden in AWS Form von Zustandskontextschlüsseln angezeigt, die Sie in Ihren Richtlinien auswerten können. Diese Bedingungsschlüssel stellen sicher, dass nur autorisierte Benutzer in den richtigen Kontexten Berechtigungen für den Zugriff auf Ihre AWS -Ressourcen erhalten. Sie können Zeitfenster angeben, die die Zeiten, in denen die Konsole verwendet werden darf, einschränken. Sie können auch die maximale Zeit (bis zu 12 Stunden) angeben, die Benutzer auf die Konsole zugreifen können, bevor sie ihre Anmeldeinformationen aktualisieren müssen. Details hierzu finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion.