Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung beim SAML Verbund mit IAM

Verwenden Sie die Informationen hier, um Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit SAML 2.0 und dem Verbund mit auftreten können AWS Identity and Access Management.

Fehler: Ihre Anfrage enthielt eine ungültige SAML Antwort. Klicken Sie hier, um sich abzumelden.

Dieser Fehler kann auftreten, wenn die SAML Antwort des Identitätsanbieters kein Attribut enthält, für das der Wert auf Name gesetzt isthttps://aws.amazon.com/SAML/Attributes/Role. Das Attribut muss mindestens ein Element AttributeValue mit durch Komma getrennten Zeichenfolgen enthalten:

Weitere Informationen finden Sie unter SAMLAssertionen für die Authentifizierungsantwort konfigurieren. Um die SAML Antwort in Ihrem Browser anzuzeigen, folgen Sie den unter aufgeführten SchrittenEine SAML Antwort in Ihrem Browser anzeigen.

Fehler: RoleSessionName ist erforderlich in AuthnResponse (Dienst: AWSSecurityTokenService; Statuscode: 400; Fehlercode: InvalidIdentityToken)

Dieser Fehler kann auftreten, wenn die SAML Antwort des Identitätsanbieters kein Attribut enthält, für das der Wert auf Name gesetzt isthttps://aws.amazon.com/SAML/Attributes/RoleSessionName. Der Attributwert ist eine Kennung für den Benutzer. Normalerweise handelt es sich dabei um eine Benutzer-ID oder eine E-Mail-Adresse.

Weitere Informationen finden Sie unter SAMLAssertionen für die Authentifizierungsantwort konfigurieren. Gehen Sie wie unter beschrieben vor, um die SAML Antwort in Ihrem Browser anzuzeigenEine SAML Antwort in Ihrem Browser anzeigen.

Fehler: Nicht autorisiert, sts auszuführen: AssumeRoleWith SAML (Dienst: AWSSecurityTokenService; Statuscode: 403; Fehlercode: AccessDenied)

Dieser Fehler kann auftreten, wenn die in der SAML Antwort angegebene IAM Rolle falsch geschrieben ist oder nicht existiert. Achten Sie darauf, den genauen Namen Ihrer Rolle zu verwenden, da bei Rollennamen die Groß-/Kleinschreibung beachtet wird. Korrigieren Sie den Namen der Rolle in der SAML Service Provider-Konfiguration.

Sie haben nur dann Zugriff, wenn Ihre Rollenvertrauensrichtlinie die sts:AssumeRoleWithSAML-Aktion enthält. Wenn Ihre SAML Assertion für die Verwendung des PrincipalTagAttributs konfiguriert ist, muss Ihre Vertrauensrichtlinie auch die sts:TagSession Aktion enthalten. Weitere Hinweise zu Sitzungs-Tags finden Sie unter Sitzungs-Tags übergeben AWS STS.

Dieser Fehler kann auftreten, wenn Sie nicht sts:SetSourceIdentity-Berechtigungen in Ihrer Rollenvertrauensrichtlinie. Wenn Ihre SAML Assertion für die Verwendung des SourceIdentityAttributs konfiguriert ist, muss Ihre Vertrauensrichtlinie auch die sts:SetSourceIdentity Aktion enthalten. Weitere Informationen zu Quellidentität finden Sie unter Überwachen und Steuern von Aktionen mit übernommenen Rollen.

Dieser Fehler kann auch auftreten, wenn die Verbundbenutzer nicht über die Berechtigung zum Annehmen der Rolle verfügen. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die den Wert ARN des IAM SAML Identitätsanbieters als angibt. Principal Die Rolle enthält zudem Bedingungen, über die gesteuert wird, welche Benutzer die Rolle annehmen können. Stellen Sie sicher, dass Benutzer die Anforderungen dieser Bedingungen erfüllen.

Dieser Fehler kann auch auftreten, wenn die SAML Antwort kein A Subject enthältNameID.

Weitere Informationen finden Sie im Thema über das Einrichten von Berechtigungen in AWS für Verbundbenutzer und SAMLAssertionen für die Authentifizierungsantwort konfigurieren. Gehen Sie wie unter beschrieben vor, um die SAML Antwort in Ihrem Browser anzuzeigenEine SAML Antwort in Ihrem Browser anzeigen.

Fehler: RoleSessionName in AuthnResponse muss mit [a-zA-Z_0-9+=, .@-] {2,64} übereinstimmen (Service:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) InvalidIdentityToken

Dieser Fehler kann auftreten, wenn der Attributwert RoleSessionName zu hoch ist oder ungültige Zeichen enthält. Die maximal zulässige Länge beträgt 64 Zeichen.

Weitere Informationen finden Sie unter SAMLAssertionen für die Authentifizierungsantwort konfigurieren. Um die SAML Antwort in Ihrem Browser zu sehen, folgen Sie den unter aufgeführten SchrittenEine SAML Antwort in Ihrem Browser anzeigen.

Fehler: Die Quellenidentität muss mit [A-Za-Z_0-9+=, .@-] {2,64} übereinstimmen und darf nicht mit "aws:" (Service:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) beginnen InvalidIdentityToken

Dieser Fehler kann auftreten, wenn der Attributwert sourceIdentity zu hoch ist oder ungültige Zeichen enthält. Die maximal zulässige Länge beträgt 64 Zeichen. Weitere Informationen zu Quellidentität finden Sie unter Überwachen und Steuern von Aktionen mit übernommenen Rollen.

Weitere SAML Hinweise zum Erstellen von SAMLAssertionen für die Authentifizierungsantwort konfigurieren Assertionen finden Sie unter. Gehen Sie wie unter SAML beschrieben vor, um die Antwort in Eine SAML Antwort in Ihrem Browser anzeigen Ihrem Browser anzuzeigen.

Fehler: Die Antwortsignatur ist ungültig (Dienst: AWSSecurityTokenService; Statuscode: 400; Fehlercode: InvalidIdentityToken)

Dieser Fehler kann auftreten, wenn die Verbundmetadaten des Identitätsanbieters nicht mit den Metadaten des IAM Identitätsanbieters übereinstimmen. Es kann beispielsweise sein, dass sich die Metadatendatei des Identitätsserviceanbieters geändert hat, um ein abgelaufenes Zertifikat zu aktualisieren. Laden Sie die aktualisierte SAML Metadatendatei von Ihrem Identitätsdienstanbieter herunter. Aktualisieren Sie sie anschließend in der AWS Identitätsanbieter-Entität, die Sie IAM mit dem aws iam update-saml-provider plattformübergreifenden CLI Befehl oder dem Update-IAMSAMLProvider PowerShell Cmdlet definiert haben.

Fehler: Die Rolle konnte nicht übernommen werden: Der Aussteller ist beim angegebenen Anbieter nicht vorhanden (Dienst: AWSOpenIdDiscoveryService; Statuscode: 400; Fehlercode: AuthSamlInvalidSamlResponseException)

Dieser Fehler kann auftreten, wenn der Emittent in der SAML Antwort nicht mit dem Emittenten übereinstimmt, der in der Verbund-Metadatendatei deklariert wurde. Die Metadatendatei wurde hochgeladen, AWS als Sie den Identitätsanbieter in erstellt haben. IAM

Error: Could not parse metadata.

Dieser Fehler kann auftreten, wenn Ihre Metadatendatei nicht ordnungsgemäß formatiert ist.

Wenn Sie in der einen SAML Identitätsanbieter erstellen oder verwalten AWS Management Console, müssen Sie das SAML Metadatendokument von Ihrem Identitätsanbieter abrufen.

Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zur Validierung der vom IdP erhaltenen SAML Authentifizierungsantwort (Assertionen) verwendet werden können. Die Metadatendatei muss im Format UTF -8 ohne eine Bytereihenfolge-Markierung () codiert sein. BOM Um das zu entfernenBOM, können Sie die Datei mit einem Textbearbeitungsprogramm wie Notepad++ als UTF -8 codieren.

Das im SAML Metadatendokument enthaltene x.509-Zertifikat muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das x.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das x.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IdP-Erstellung fehl und gibt den Fehler „Unable to parse metadata“ (Metadaten können nicht analysiert werden) zurück.

Gemäß der Definition im SAMLV2.0 Metadata Interoperability Profile, Version 1.0, wird der Ablauf des X.509-Zertifikats des Metadatendokuments IAM weder bewertet noch entsprechende Maßnahmen ergriffen.

Fehler: Der angegebene Anbieter ist nicht vorhanden.

Dieser Fehler kann auftreten, wenn der Name des Anbieters in der SAML Assertion nicht mit dem Namen des Anbieters in IAM übereinstimmt. Weitere Informationen zum Anzeigen des Anbieternamens finden Sie unter Erstellen Sie einen SAML Identitätsanbieter in IAM.

Fehler: Die angeforderte MaxSessionDuration Menge DurationSeconds überschreitet den für diese Rolle festgelegten Wert.

Dieser Fehler kann auftreten, wenn Sie eine Rolle aus dem AWS CLI oder übernehmenAPI.

Wenn Sie die AssumeRoleWithSAMLAPIOperationen assume-role-with-samlCLIoder verwenden, um eine Rolle anzunehmen, können Sie einen Wert für den DurationSeconds Parameter angeben. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle angeben. Wenn Sie einen Wert höher als diese Einstellung angeben, schlägt die Operation fehl. Wenn Sie beispielsweise eine Sitzungsdauer von zwölf Stunden angeben, Ihr Administrator aber die maximale Sitzungsdauer auf sechs Stunden festgelegt hat, schlägt die Operation fehl. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren Sie die maximale Sitzungsdauer für eine Rolle.

Fehler: Die Antwort enthält nicht die erforderliche Zielgruppe.

Dieser Fehler kann auftreten, wenn in der SAML Konfiguration eine Diskrepanz zwischen der Zielgruppe URL und dem Identitätsanbieter besteht. Stellen Sie sicher, dass die ID der vertrauenden Partei Ihres Identitätsanbieters (IdP) genau mit der in der SAML Konfiguration angegebenen Zielgruppe URL (Entitäts-ID) übereinstimmt.