Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes de SAML fédération avec IAM

Utilisez les informations fournies ici pour vous aider à diagnostiquer et à résoudre les problèmes que vous pourriez rencontrer lors de l'utilisation de la SAML version 2.0 et de la fédération AWS Identity and Access Management.

Erreur : votre demande contient une SAML réponse non valide. To logout, click here.

Cette erreur peut se produire lorsque la SAML réponse du fournisseur d'identité n'inclut pas d'attribut Name défini surhttps://aws.amazon.com/SAML/Attributes/Role. L'attribut doit contenir un ou plusieurs éléments AttributeValue, chacun contenant une paire de chaînes séparées par une virgule :

Pour de plus amples informations, veuillez consulter Configurer les SAML assertions pour la réponse d'authentification. Pour afficher la SAML réponse dans votre navigateur, suivez les étapes répertoriées dansAfficher une SAML réponse dans votre navigateur.

Erreur : RoleSessionName obligatoire dans AuthnResponse (service : AWSSecurityTokenService ; code d'état : 400 ; code d'erreur : InvalidIdentityToken)

Cette erreur peut se produire lorsque la SAML réponse du fournisseur d'identité n'inclut pas d'attribut Name défini surhttps://aws.amazon.com/SAML/Attributes/RoleSessionName. La valeur de l'attribut est un identifiant pour l'utilisateur, généralement un ID utilisateur ou une adresse e-mail.

Pour de plus amples informations, veuillez consulter Configurer les SAML assertions pour la réponse d'authentification. Pour afficher la SAML réponse dans votre navigateur, suivez les étapes répertoriées dansAfficher une SAML réponse dans votre navigateur.

Erreur : Non autorisé à exécuter sts : AssumeRoleWith SAML (service : AWSSecurityTokenService ; code d'état : 403 ; code d'erreur : AccessDenied)

Cette erreur peut se produire si le IAM rôle spécifié dans la SAML réponse est mal orthographié ou n'existe pas. Assurez-vous d'utiliser le nom exact de votre rôle, car les noms de rôle sont sensibles à la casse. Corrigez le nom du rôle dans la configuration du SAML fournisseur de services.

Vous n'êtes autorisé à accéder que si votre politique d'approbation de rôle inclut l'action sts:AssumeRoleWithSAML. Si votre SAML assertion est configurée pour utiliser l'PrincipalTagattribut, votre politique de confiance doit également inclure l'sts:TagSessionaction. Pour de plus amples informations sur les balises de session, veuillez consulter Transmettez les tags de session AWS STS.

Cette erreur peut se produire si vous n'avez pas d'autorisations sts:SetSourceIdentity dans votre politique de confiance de rôle. Si votre SAML assertion est configurée pour utiliser l'SourceIdentityattribut, votre politique de confiance doit également inclure l'sts:SetSourceIdentityaction. Pour de plus amples informations sur l'identité source, veuillez consulter Surveiller et contrôler les actions prises avec les rôles endossés.

Cette erreur peut également se produire si les utilisateurs fédérés ne sont pas autorisés à endosser le rôle. Le rôle doit avoir une politique de confiance qui spécifie que le fournisseur IAM SAML d'identité est lePrincipal. ARN Le rôle contient également des conditions qui contrôlent les utilisateurs qui peuvent endosser le rôle. Vérifiez que les utilisateurs satisfont les exigences des conditions.

Cette erreur peut également se produire si la SAML réponse n'inclut pas un Subject contenant unNameID.

Pour de plus amples informations, veuillez consulter Établir des autorisations dans AWS pour les utilisateurs fédérés et Configurer les SAML assertions pour la réponse d'authentification. Pour afficher la SAML réponse dans votre navigateur, suivez les étapes répertoriées dansAfficher une SAML réponse dans votre navigateur.

Erreur : l' RoleSessionName entrée AuthnResponse doit correspondre à [a-zA-Z_0-9+=, .@-] {2,64} (service : ; code d'état : 400 ; code d'erreur : AWSSecurityTokenService) InvalidIdentityToken

Cette erreur peut se produire si la valeur d'attribut RoleSessionName est trop longue ou contient des caractères non valides. La longueur valide maximale est de 64 caractères.

Pour de plus amples informations, veuillez consulter Configurer les SAML assertions pour la réponse d'authentification. Pour afficher la SAML réponse dans votre navigateur, suivez les étapes répertoriées dansAfficher une SAML réponse dans votre navigateur.

Erreur : l'identité de la source doit correspondre à [a-zA-Z_0-9+=, .@-] {2,64} et ne pas commencer par "aws:" (service : ; code d'état : 400 ; code d'erreur : AWSSecurityTokenService) InvalidIdentityToken

Cette erreur peut se produire si la valeur d'attribut sourceIdentity est trop longue ou contient des caractères non valides. La longueur valide maximale est de 64 caractères. Pour de plus amples informations sur l'identité source, veuillez consulter Surveiller et contrôler les actions prises avec les rôles endossés.

Pour plus d'informations sur la création d'SAMLassertions, consultezConfigurer les SAML assertions pour la réponse d'authentification. Pour afficher la SAML réponse dans votre navigateur, suivez les étapes répertoriées dansAfficher une SAML réponse dans votre navigateur.

Erreur : signature de réponse non valide (service : AWSSecurityTokenService ; code d'état : 400 ; code d'erreur : InvalidIdentityToken)

Cette erreur peut se produire lorsque les métadonnées de fédération du fournisseur d'identité ne correspondent pas aux métadonnées du fournisseur IAM d'identité. Par exemple, le fichier de métadonnées du fournisseur de service d'identité peut avoir changé pour mettre à jour un certificat arrivé à expiration. Téléchargez le fichier de SAML métadonnées mis à jour auprès de votre fournisseur de services d'identité. Mettez-le ensuite à jour dans l'entité du fournisseur AWS d'identité que vous définissez à l'IAMaide de la commande aws iam update-saml-provider multiplateforme ou de l'Update-IAMSAMLProvider PowerShellapplet de CLI commande.

Erreur : Impossible d'assumer le rôle : l'émetteur n'est pas présent chez le fournisseur spécifié (service : AWSOpenIdDiscoveryService ; code d'état : 400 ; code d'erreur : AuthSamlInvalidSamlResponseException)

Cette erreur peut se produire si l'émetteur indiqué dans la SAML réponse ne correspond pas à l'émetteur déclaré dans le fichier de métadonnées de fédération. Le fichier de métadonnées a été chargé AWS lorsque vous avez créé le fournisseur d'identité dansIAM.

Erreur : Impossible d'analyser les métadonnées.

Cette erreur peut se produire si vous ne formatez pas correctement votre fichier de métadonnées.

Lorsque vous créez ou gérez un fournisseur SAML d'identité dans le AWS Management Console, vous devez récupérer le document de SAML métadonnées auprès de votre fournisseur d'identité.

Ce fichier de métadonnées inclut le nom de l'émetteur, les informations d'expiration et les clés qui peuvent être utilisées pour valider la réponse SAML d'authentification (assertions) reçue de l'IdP. Le fichier de métadonnées doit être codé au format UTF -8 sans marque d'ordre des octets (BOM). Pour le supprimerBOM, vous pouvez encoder le fichier sous la forme UTF -8 à l'aide d'un outil d'édition de texte tel que Notepad++.

Le certificat x.509 inclus dans le document de SAML métadonnées doit utiliser une taille de clé d'au moins 1024 bits. De plus, le certificat x.509 doit également être exempt de toute extension répétée. Vous pouvez utiliser des extensions, mais elles ne peuvent apparaître qu'une seule fois dans le certificat. Si le certificat x.509 ne répond à aucune des conditions, la création de l'IdP échoue et renvoie une erreur « impossible d'analyser les métadonnées ».

Tel que défini par le profil d'interopérabilité des métadonnées SAML V2.0 version 1.0, IAM ni n'évalue ni ne prend de mesures concernant l'expiration du certificat X.509 du document de métadonnées.

Erreur : Le fournisseur spécifié n'existe pas.

Cette erreur peut se produire si le nom du fournisseur dans l'SAMLassertion ne correspond pas au nom du fournisseur dansIAM. Pour plus d’informations sur l'affichage du nom du fournisseur, veuillez consulter Créez un fournisseur SAML d'identité dans IAM.

Erreur : le nombre demandé DurationSeconds dépasse ce qui est MaxSessionDuration défini pour ce rôle.

Cette erreur peut se produire si vous assumez un rôle depuis le AWS CLI ouAPI.

Lorsque vous utilisez les AssumeRoleWithSAMLAPIopérations assume-role-with-samlCLIou pour assumer un rôle, vous pouvez spécifier une valeur pour le DurationSeconds paramètre. Vous pouvez spécifier une valeur comprise entre 900 secondes (15 minutes) et la durée maximale de la session définie pour le rôle. Si vous spécifiez une valeur supérieure à ce paramètre, l'opération échoue. Par exemple, si vous spécifiez une durée de session de 12 heures, mais que votre administrateur a défini la durée de session maximale à 6 heures, votre opération échoue. Pour savoir comment afficher la valeur maximale pour votre rôle, veuillez consulter Mettre à jour la durée maximale de session pour un rôle.

Erreur : la réponse ne contient pas l'audience requise.

Cette erreur peut se produire en cas de discordance entre l'audience URL et le fournisseur d'identité dans la SAML configuration. Assurez-vous que l'identifiant de la partie de confiance de votre fournisseur d'identité (IdP) correspond exactement à l'audience URL (ID d'entité) fournie dans la SAML configuration.