Prasyarat Membuat dan mengelola penyedia identitas SAMP IAM (konsol)Kelola kunci enkripsi SAMP Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLI Membuat dan mengelola penyedia identitas SAMP IAM (API)AWS Langkah selanjutnya

Buat penyedia identitas SAMP di IAM

Penyedia identitas IAM SAML 2.0 adalah entitas di IAM yang menggambarkan layanan penyedia identitas eksternal (IdP) yang mendukung standar SAML 2.0 (Security Assertion Markup Language 2.0). Anda menggunakan penyedia identitas IAM ketika Anda ingin membangun kepercayaan antara IDP yang kompatibel dengan SAMP seperti Shibboleth atau Layanan Federasi Direktori Aktif AWS dan, sehingga pengguna Anda dapat mengakses sumber daya. AWS Penyedia identitas IAM SAML digunakan sebagai prinsipal dalam kebijakan kepercayaan IAM.

Untuk informasi selengkapnya tentang skenario ini, lihat Federasi SAML 2.0.

Anda dapat membuat dan mengelola penyedia identitas IAM di AWS Management Console atau dengan AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API.

Setelah Anda membuat penyedia identitas SAML, Anda harus membuat satu atau lebih peran IAM. Peran adalah identitas AWS yang tidak memiliki kredensialnya sendiri (seperti yang dilakukan pengguna). Namun dalam konteks ini, peran secara dinamis ditetapkan ke pengguna federasi yang diautentikasi oleh IDP Anda. Peran ini memungkinkan IDP Anda untuk meminta kredenal keamanan sementara untuk akses ke. AWS Kebijakan yang ditetapkan untuk peran menentukan apa yang diizinkan dilakukan oleh pengguna federasi. AWS Untuk menciptakan peran bagi federasi SAML, lihat Buat peran untuk penyedia identitas pihak ketiga (federasi).

Terakhir, setelah Anda membuat peran, Anda menyelesaikan kepercayaan SAMP dengan mengonfigurasi IDP Anda dengan informasi tentang AWS dan peran yang Anda inginkan untuk digunakan oleh pengguna federasi Anda. Ini disebut sebagai mengonfigurasi kepercayaan pihak pengandal antara IdP dan AWS. Untuk mengkonfigurasi kepercayaan pihak yang bergantung, lihat Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.

Topik

Prasyarat
Membuat dan mengelola penyedia identitas SAMP IAM (konsol)
Kelola kunci enkripsi SAMP
Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLI
Membuat dan mengelola penyedia identitas SAMP IAM (API)AWS
Langkah selanjutnya

Prasyarat

Sebelum Anda dapat membuat penyedia identitas SAMP, Anda harus memiliki informasi berikut dari IDP Anda.

Dapatkan dokumen metadata SAMP dari IDP Anda. Dokumen ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons autentikasi SAML (penegasan) yang diterima dari IdP. Untuk menghasilkan dokumen metadata, gunakan perangkat lunak manajemen identitas yang disediakan oleh iDP eksternal Anda.

penting
File metadata ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons otentikasi SAMP (pernyataan) yang diterima dari iDP. File metadata harus dienkode dalam format UTF-8 tanpa tanda urutan byte (BOM). Untuk menghapus BOM, Anda dapat mengkode file sebagai UTF-8 menggunakan alat bantu edit teks, seperti Notepad++.
Sertifikat X.509 yang disertakan sebagai bagian dari dokumen metadata SAMP harus menggunakan ukuran kunci minimal 1024 bit. Selain itu, sertifikat X.509 juga harus bebas dari ekstensi berulang. Anda dapat menggunakan ekstensi, tetapi ekstensi hanya dapat muncul sekali dalam sertifikat. Jika sertifikat X.509 tidak memenuhi salah satu kondisi, pembuatan IDP gagal dan mengembalikan kesalahan “Tidak dapat mengurai metadata”.
Seperti yang didefinisikan oleh SAMP V2.0 Metadata Interoperability Profile Versi 1.0, IAM tidak mengevaluasi atau mengambil tindakan pada berakhirnya sertifikat X.509 dalam dokumen metadata SAMP. Jika Anda khawatir tentang sertifikat X.509 yang kedaluwarsa, kami sarankan untuk memantau tanggal kedaluwarsa sertifikat dan sertifikat berputar sesuai dengan kebijakan tata kelola dan keamanan organisasi Anda.
Ketika Anda memilih untuk mengaktifkan enkripsi SAMP, Anda harus membuat file kunci pribadi menggunakan IDP Anda, dan mengunggah file ini ke konfigurasi IAM SAMP Anda dalam format file.pem. AWS STS membutuhkan kunci pribadi ini untuk mendekripsi tanggapan SAMP yang sesuai dengan kunci publik yang diunggah ke IDP Anda. Algoritma berikut didukung:
- Algoritme enkripsi
  - AES-128
  - AES-256
  - RSA-OAEP
- Algoritma transportasi utama
  - AES-CBC
  - AES-GCM
Lihat dokumentasi penyedia identitas Anda untuk mengetahui langkah-langkah untuk membuat kunci pribadi.

catatan
Pusat Identitas IAM dan Amazon Cognito tidak mendukung pernyataan SAMP terenkripsi dari penyedia identitas IAM SAMP. Anda dapat secara tidak langsung menambahkan dukungan untuk pernyataan SAMP terenkripsi ke federasi kumpulan identitas Amazon Cognito dengan kumpulan pengguna Amazon Cognito. Kumpulan pengguna memiliki federasi SAMP yang independen dari federasi IAM SAMP dan mendukung penandatanganan dan enkripsi SAMP. Meskipun fitur ini tidak meluas langsung ke kumpulan identitas, kumpulan pengguna dapat berupa IdPs kumpulan identitas. Untuk menggunakan enkripsi SAMP dengan kumpulan identitas, tambahkan penyedia SAMP dengan enkripsi ke kumpulan pengguna yang merupakan idP ke kumpulan identitas.
Penyedia SALL Anda harus dapat mengenkripsi pernyataan SAMP dengan kunci yang disediakan oleh kumpulan pengguna Anda. Kumpulan pengguna tidak akan menerima pernyataan yang dienkripsi dengan sertifikat yang telah disediakan IAM.

Untuk petunjuk tentang cara mengonfigurasi banyak yang tersedia IdPs untuk dikerjakan AWS, termasuk cara membuat dokumen metadata SAMP yang diperlukan, lihat. Integrasikan penyedia solusi SAMP pihak ketiga dengan AWS

Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Membuat dan mengelola penyedia identitas SAMP IAM (konsol)

Anda dapat menggunakan AWS Management Console untuk membuat, memperbarui, dan menghapus penyedia identitas IAM SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM SAML (konsol)

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Penyedia identitas lalu pilih Tambahkan penyedia.
Untuk Konfigurasi penyedia, pilih SAML.
Ketikkan nama untuk penyedia identitas.
Untuk Dokumen metadata, pilih Pilih file, tentukan dokumen metadata SAML yang Anda unduh di Prasyarat.
(Opsional) Untuk enkripsi SAMP, pilih Pilih file dan pilih file kunci pribadi yang Anda buat. Prasyarat Pilih Memerlukan enkripsi untuk hanya menerima permintaan terenkripsi dari IDP Anda.
(Opsional) Untuk Tambahkan tag, Anda dapat menambahkan pasangan kunci-nilai untuk membantu Anda mengidentifikasi dan mengatur. IdPs Anda juga dapat menggunakan tanda untuk mengontrol akses ke sumber daya AWS . Untuk mempelajari selengkapnya tentang penandaan penyedia identitas, lihat Tag penyedia IAM SAML identitas.

Pilih Tambahkan tanda. Masukkan nilai untuk setiap pasangan nilai-kunci tanda.
Verifikasi informasi yang telah Anda berikan. Setelah selesai, pilih Tambahkan penyedia.
Tetapkan peran IAM ke penyedia identitas Anda. Peran ini memberikan identitas pengguna eksternal yang dikelola oleh izin penyedia identitas Anda untuk mengakses AWS sumber daya di akun Anda. Untuk mempelajari lebih lanjut tentang menciptakan peran untuk federasi identitas, lihat Buat peran untuk penyedia identitas pihak ketiga (federasi).

catatan
SAMP yang IDPs digunakan dalam kebijakan kepercayaan peran harus berada dalam akun yang sama dengan peran tersebut.

Untuk menghapus penyedia SAML (konsol)

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Penyedia identitas.
Pilih tombol radio di samping penyedia identitas yang ingin Anda hapus.
Pilih Hapus. Jendela baru terbuka.
Konfirmasikan bahwa Anda ingin menghapus penyedia dengan mengetik kata delete di bidangnya. Lalu, pilih Hapus.

Kelola kunci enkripsi SAMP

Anda dapat mengonfigurasi penyedia IAM SAMP untuk menerima pernyataan terenkripsi dalam respons SAMP dari iDP eksternal Anda. Pengguna dapat berperan dengan pernyataan SAMP terenkripsi AWS dengan menelepon. sts:AssumeRoleWithSAML

Enkripsi SAMP memastikan bahwa pernyataan aman ketika melewati perantara atau pihak ketiga. Selain itu, fitur ini membantu Anda memenuhi FedRAMP atau persyaratan kebijakan kepatuhan internal apa pun yang mengamanatkan pernyataan SAMP untuk dienkripsi.

Untuk mengonfigurasi penyedia identitas SAMP IAM, lihat. Buat penyedia identitas SAMP di IAM Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Putar kunci enkripsi SAMP

IAM menggunakan kunci pribadi yang Anda unggah ke penyedia IAM SAMP untuk mendekripsi pernyataan SAMP terenkripsi dari IDP Anda. Anda dapat menyimpan hingga dua file kunci pribadi untuk setiap penyedia identitas, memungkinkan Anda untuk memutar kunci pribadi seperlunya. Ketika dua file disimpan, setiap permintaan pertama-tama akan mencoba untuk mendekripsi dengan yang terbaru Ditambahkan pada tanggal, kemudian IAM mencoba untuk mendekripsi permintaan dengan yang tertua Ditambahkan pada tanggal.

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Penyedia identitas lalu pilih penyedia Anda dari daftar.
Pilih tab enkripsi SAMP dan pilih Tambahkan kunci baru.
Pilih Pilih file dan unggah kunci pribadi yang Anda unduh dari idP Anda sebagai file.pem. Kemudian, pilih Tambah kunci.
Di bagian Kunci pribadi untuk dekripsi SAMP, pilih file kunci pribadi yang kedaluwarsa dan pilih Hapus. Kami menyarankan Anda menghapus kunci pribadi yang kedaluwarsa setelah menambahkan kunci pribadi baru untuk memastikan upaya pertama untuk mendekripsi pernyataan Anda berhasil.

Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLI

Anda dapat menggunakan AWS CLI untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata ()AWS CLI

Jalankan perintah ini: aws iam create-saml-provider

Untuk memperbarui penyedia identitas SAMP IAM ()AWS CLI

Anda dapat memperbarui file metadata, pengaturan enkripsi SAMP, dan memutar file dekripsi kunci pribadi untuk penyedia IAM SAMP Anda. Untuk memutar kunci pribadi, tambahkan kunci pribadi baru Anda dan kemudian hapus kunci lama dalam permintaan terpisah. Untuk informasi selengkapnya tentang memutar kunci pribadi, lihatKelola kunci enkripsi SAMP.

Jalankan perintah ini:aws iam update-saml-provider

Untuk menghapus penyedia identitas SAMP IAM ()AWS CLI

(Opsional) Untuk mencantumkan informasi untuk semua penyedia, seperti ARN, tanggal pembuatan, dan kedaluwarsa, jalankan perintah berikut:
- aws iam list-saml-providers
(Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, jalankan perintah berikut:
- aws iam get-saml-provider
Untuk menghapus penyedia identitas IAM, jalankan perintah berikut:
- aws iam delete-saml-provider

Membuat dan mengelola penyedia identitas SAMP IAM (API)AWS

Anda dapat menggunakan AWS API untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata (API)AWS

Hubungi operasi ini: CreateSAMLProvider

Untuk memperbarui penyedia identitas SAMP IAM (API)AWS

Hubungi operasi ini: UpdateSAMLProvider

Untuk menandai penyedia identitas IAM (AWS API) yang ada

Hubungi operasi ini: TagSAMLProvider

Untuk mencantumkan tag untuk penyedia identitas IAM (AWS API) yang ada

Hubungi operasi ini: ListSAMLProviderTags

Untuk menghapus tag pada penyedia identitas IAM (AWS API) yang ada

Hubungi operasi ini: UntagSAMLProvider

Untuk menghapus penyedia identitas IAM (AWS API)

(Opsional) Untuk mencantumkan informasi untuk semua IdPs, seperti ARN, tanggal pembuatan, dan kedaluwarsa, hubungi operasi berikut:
- ListSAMLProviders
(Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, hubungi operasi berikut:
- GetSAMLProvider
Untuk menghapus IdP, panggil operasi berikut:
- DeleteSAMLProvider

Langkah selanjutnya

Setelah Anda membuat penyedia identitas SAMP, siapkan kepercayaan pihak yang mengandalkan dengan IDP Anda. Anda juga dapat menggunakan klaim dari respons autentikasi IDP Anda dalam kebijakan untuk mengontrol akses ke peran.

Anda harus memberi tahu IDP tentang AWS sebagai penyedia layanan. Ini disebut menambahkan kepercayaan pihak yang mengandalkan antara AWS IDP Anda dan. Proses yang tepat untuk menambahkan kepercayaan pihak yang bergantung tergantung pada IdP yang Anda gunakan. Untuk detailnya, lihat Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.
Ketika IDP mengirimkan respons yang berisi klaim AWS, banyak klaim yang masuk memetakan ke AWS kunci konteks. Anda dapat menggunakan kunci konteks ini dalam kebijakan IAM menggunakan elemen Kondisi untuk mengontrol akses ke peran. Untuk detailnya, lihat Konfigurasikan pernyataan SAMP untuk respons otentikasi

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Federasi SAML 2.0

Konfigurasikan kepercayaan dan klaim pihak yang mengandalkan