Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memecahkan masalah SAML federasi dengan IAM
Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki masalah yang mungkin Anda temui saat bekerja dengan SAML 2.0 dan federasi AWS Identity and Access Management.
Topik
Kesalahan: Permintaan Anda menyertakan respons yang tidak validSAML. Untuk logout, klik di sini.
Kesalahan ini dapat terjadi ketika SAML respons dari penyedia identitas tidak menyertakan atribut dengan Name set kehttps://aws.amazon.com/SAML/Attributes/Role. Atribut harus berisi satu atau beberapa elemen AttributeValue, masing-masing berisi sepasang string yang dipisahkan koma:
-
ARNPeran yang dapat dipetakan oleh pengguna
-
ARNSAMLPenyedia
Untuk informasi selengkapnya, lihat Konfigurasikan pernyataan SAMP untuk respons otentikasi. Untuk melihat SAML respons di browser Anda, ikuti langkah-langkah yang tercantum diLihat SAML respons di browser Anda.
Kesalahan: RoleSessionName diperlukan dalam AuthnResponse (layanan: AWSSecurityTokenService; kode status: 400; kode kesalahan: InvalidIdentityToken)
Kesalahan ini dapat terjadi ketika SAML respons dari penyedia identitas tidak menyertakan atribut dengan Name set kehttps://aws.amazon.com/SAML/Attributes/RoleSessionName. Nilai atribut adalah pengidentifikasi untuk pengguna dan umumnya adalah ID pengguna atau alamat email.
Untuk informasi selengkapnya, lihat Konfigurasikan pernyataan SAMP untuk respons otentikasi. Untuk melihat SAML respons di browser Anda, ikuti langkah-langkah yang tercantum diLihat SAML respons di browser Anda.
Kesalahan: Tidak berwenang untuk melakukan sts: AssumeRoleWith SAML (layanan: AWSSecurityTokenService; kode status: 403; kode kesalahan: AccessDenied)
Kesalahan ini dapat terjadi jika IAM peran yang ditentukan dalam SAML respons salah eja atau tidak ada. Pastikan untuk menggunakan nama yang tepat dari peran Anda, karena nama peran bersifat peka kapitalisasi huruf. Perbaiki nama peran dalam konfigurasi penyedia SAML layanan.
Anda diperbolehkan mengakses hanya jika kebijakan kepercayaan peran Anda mencakup tindakan sts:AssumeRoleWithSAML. Jika SAML pernyataan Anda dikonfigurasi untuk menggunakan PrincipalTagatribut, kebijakan kepercayaan Anda juga harus menyertakan tindakan. sts:TagSession Untuk informasi selengkapnya tentang tanda sesi, lihat Lulus tag sesi di AWS STS.
Kesalahan ini dapat terjadi jika Anda tidak memiliki izin sts:SetSourceIdentity dalam kebijakan kepercayaan peran Anda. Jika SAML pernyataan Anda dikonfigurasi untuk menggunakan SourceIdentityatribut, maka kebijakan kepercayaan Anda juga harus menyertakan tindakan tersebutsts:SetSourceIdentity. Untuk informasi selengkapnya tentang identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan.
Kesalahan ini juga dapat terjadi jika pengguna gabungan tidak memiliki izin untuk mengambil peran tersebut. Peran harus memiliki kebijakan kepercayaan yang menentukan ARN penyedia IAM SAML identitas sebagai. Principal Peran ini juga berisi kondisi yang mengontrol pengguna mana yang dapat mengasumsikan peran tersebut. Pastikan bahwa pengguna Anda memenuhi persyaratan kondisi.
Kesalahan ini juga dapat terjadi jika SAML respon tidak termasuk yang Subject mengandung aNameID.
Untuk informasi selengkapnya, lihat Menetapkan Izin di AWS untuk Pengguna Gabungan dan Konfigurasikan pernyataan SAMP untuk respons otentikasi. Untuk melihat SAML respons di browser Anda, ikuti langkah-langkah yang tercantum diLihat SAML respons di browser Anda.
Kesalahan: RoleSessionName di AuthnResponse harus cocok [A-za-Z_0-9+=, .@-] {2,64} (layanan:; kode status: 400; kode kesalahan: AWSSecurityTokenService) InvalidIdentityToken
Kesalahan ini dapat terjadi jika nilai atribut RoleSessionName terlalu panjang atau mengandung karakter yang tidak valid. Panjang valid maksimum adalah 64 karakter.
Untuk informasi selengkapnya, lihat Konfigurasikan pernyataan SAMP untuk respons otentikasi. Untuk melihat SAML respons di browser Anda, ikuti langkah-langkah yang tercantum diLihat SAML respons di browser Anda.
Kesalahan: Identitas Sumber harus cocok dengan [A-za-Z_0-9+=, .@-] {2,64} dan tidak dimulai dengan "aws:" (layanan:; kode status: 400; kode kesalahan: AWSSecurityTokenService) InvalidIdentityToken
Kesalahan ini dapat terjadi jika nilai atribut sourceIdentity terlalu panjang atau mengandung karakter yang tidak valid. Panjang valid maksimum adalah 64 karakter. Untuk informasi selengkapnya tentang identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan.
Untuk informasi selengkapnya tentang membuat SAML pernyataan, lihat. Konfigurasikan pernyataan SAMP untuk respons otentikasi Untuk melihat SAML respons di browser Anda, ikuti langkah-langkah yang tercantum diLihat SAML respons di browser Anda.
Kesalahan: Tanda tangan respons tidak valid (layanan: AWSSecurityTokenService; kode status: 400; kode kesalahan:) InvalidIdentityToken
Kesalahan ini dapat terjadi saat metadata federasi penyedia identitas tidak cocok dengan metadata penyedia identitas IAM. Misalnya, file metadata untuk penyedia layanan identitas mungkin telah berubah untuk memperbarui sertifikat yang kedaluwarsa. Unduh file SAML metadata yang diperbarui dari penyedia layanan identitas Anda. Kemudian perbarui di entitas penyedia AWS identitas yang Anda tentukan IAM dengan CLI perintah aws iam update-saml-provider lintas platform atau Update-IAMSAMLProvider PowerShell cmdlet.
Kesalahan: Kunci pribadi tidak valid.
Kesalahan ini dapat terjadi jika Anda tidak memformat file kunci pribadi Anda dengan benar. Kesalahan ini dapat memberikan detail tambahan tentang mengapa kunci pribadi tidak valid:
-
Kunci dienkripsi.
-
Format kunci tidak dikenali. File kunci pribadi harus berupa file.pem.
Ketika Anda Buat penyedia identitas SAMP di IAM masuk AWS Management Console, Anda harus mengunduh kunci pribadi dari penyedia identitas Anda untuk menyediakan IAM untuk mengaktifkan enkripsi. Kunci pribadi harus berupa file.pem yang menggunakan AES - GCM atau AES - algoritma CBC enkripsi untuk mendekripsi SAML pernyataan.
Kesalahan: Gagal menghapus kunci pribadi.
Kesalahan ini dapat terjadi ketika SAML enkripsi diatur ke Wajib, dan permintaan Anda akan menghapus satu-satunya kunci dekripsi pribadi untuk penyedia. IAM SAML Untuk informasi selengkapnya tentang memutar kunci pribadi, lihatKelola kunci enkripsi SAMP.
Kesalahan: Gagal menghapus kunci pribadi karena ID Kunci tidak cocok dengan kunci pribadi.
Kesalahan ini dapat terjadi jika keyId nilai untuk kunci pribadi tidak cocok dengan ID Kunci untuk file kunci pribadi penyedia identitas.
Saat Anda menggunakan update-saml-providerRemovePrivateKey harus berupa ID Kunci yang valid untuk kunci pribadi yang dilampirkan ke penyedia identitas Anda.
Kesalahan: Gagal mengambil peran: Penerbit tidak hadir di penyedia tertentu (layanan: AWSOpenIdDiscoveryService; kode status: 400; kode kesalahan: AuthSamlInvalidSamlResponseException)
Kesalahan ini dapat terjadi jika penerbit dalam SAML tanggapan tidak cocok dengan penerbit yang dinyatakan dalam file metadata federasi. File metadata diunggah AWS saat Anda membuat penyedia identitas di. IAM
Kesalahan: Tidak dapat mengurai metadata.
Kesalahan ini dapat terjadi jika Anda tidak memformat file metadata Anda dengan benar.
Saat Anda membuat atau mengelola penyedia SAML identitas di AWS Management Console, Anda harus mengambil dokumen SAML metadata dari penyedia identitas Anda.
File metadata ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons SAML otentikasi (pernyataan) yang diterima dari iDP. File metadata harus dikodekan dalam format UTF -8 tanpa tanda urutan byte (). BOM Untuk menghapusnyaBOM, Anda dapat menyandikan file sebagai UTF -8 menggunakan alat pengeditan teks, seperti Notepad ++.
Sertifikat X.509 yang disertakan sebagai bagian dari dokumen SAML metadata harus menggunakan ukuran kunci minimal 1024 bit. Selain itu, sertifikat X.509 juga harus bebas dari ekstensi berulang. Anda dapat menggunakan ekstensi, tetapi ekstensi hanya dapat muncul sekali dalam sertifikat. Jika sertifikat X.509 tidak memenuhi salah satu kondisi, pembuatan IDP gagal dan mengembalikan kesalahan “Tidak dapat mengurai metadata”.
Sebagaimana didefinisikan oleh Profil Interoperabilitas Metadata SAML V2.0 Versi 1.0
Kesalahan: Tidak dapat memperbarui penyedia identitas. Tidak ada pembaruan yang ditentukan untuk pernyataan metadata atau enkripsi.
Kesalahan ini dapat terjadi jika Anda menggunakan update-saml-provider CLI atau UpdateSAMLProvider API operasi, tetapi tidak memberikan nilai pembaruan dalam parameter permintaan Anda. Untuk informasi selengkapnya tentang memperbarui IAM SAML penyedia Anda, lihatBuat penyedia identitas SAMP di IAM.
Kesalahan: Tidak dapat mengatur mode enkripsi pernyataan ke Wajib karena tidak ada kunci pribadi yang disediakan.
Kesalahan ini dapat terjadi ketika Anda belum mengunggah kunci dekripsi pribadi sebelumnya dan Anda mencoba menyetel SAML enkripsi ke Required tanpa menyertakan kunci pribadi dalam permintaan Anda.
Pastikan bahwa kunci pribadi ditentukan untuk IAM SAML penyedia Anda saat menggunakan create-saml-providerCLI,, CreateSAMLProvider API update-saml-providerCLI, atau UpdateSAMLProvider API operasi untuk memerlukan pernyataan terenkripsi. SAML
Kesalahan: Tidak dapat menambah dan menghapus kunci pribadi dalam permintaan yang sama. Tetapkan nilai hanya untuk satu dari dua parameter.
Kesalahan ini dapat terjadi jika nilai tambah dan hapus kunci pribadi disertakan dalam permintaan yang sama.
Saat Anda menggunakan update-saml-provider
Kesalahan: Penyedia yang ditentukan tidak ada.
Kesalahan ini dapat terjadi jika nama penyedia dalam SAML pernyataan tidak cocok dengan nama penyedia di. IAM Untuk informasi selengkapnya tentang melihat nama penyedia, lihat Buat penyedia identitas SAMP di IAM.
Kesalahan: Diminta DurationSeconds melebihi MaxSessionDuration set untuk peran ini.
Kesalahan ini dapat terjadi jika Anda mengambil peran dari AWS CLI atauAPI.
Saat Anda menggunakan AssumeRoleWithSAMLAPIoperasi assume-role-with-samlCLIatau untuk mengambil peran, Anda dapat menentukan nilai untuk DurationSeconds parameter tersebut. Anda dapat menentukan nilai dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Jika Anda menentukan nilai yang lebih tinggi dari pengaturan ini, operasi gagal. Misalnya, jika Anda menentukan durasi sesi 12 jam, tetapi administrator Anda mengatur durasi sesi maksimum menjadi 6 jam, operasi Anda gagal. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran.
Kesalahan: Batas kunci pribadi 2 tercapai.
Kesalahan ini dapat terjadi jika Anda mencoba menambahkan kunci pribadi ke penyedia identitas Anda.
Anda dapat menyimpan hingga dua kunci pribadi untuk setiap penyedia identitas. Saat Anda menggunakan update-saml-provider
Hapus kunci pribadi yang telah kedaluwarsa sebelum menambahkan kunci pribadi baru. Untuk informasi selengkapnya tentang memutar kunci pribadi, lihatKelola kunci enkripsi SAMP.
Kesalahan: Respons tidak berisi audiens yang diperlukan.
Kesalahan ini dapat terjadi jika ada ketidakcocokan antara audiens URL dan penyedia identitas dalam SAML konfigurasi. Pastikan bahwa pengenal pihak yang mengandalkan penyedia identitas (IDP) Anda sama persis dengan audiens URL (ID entitas) yang disediakan dalam konfigurasi. SAML
