Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurare le asserzioni SAML per la risposta di autenticazione
Dopo aver verificato l'identità di un utente nell'organizzazione, il provider di identità esterno (IdP) invia una risposta di autenticazione all'URL dell'endpoint di AWS accesso. Questa risposta è una richiesta POST che include un token SAML che aderisce al [binding POST HTTP per lo standard SAML 2.0](http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf) e che contiene i seguenti elementi o *attestazioni*. È possibile configurare queste affermazioni nell'IDP compatibile con SAML. Per ulteriori informazioni, consulta la documentazione del provider di identità per istruzioni su come inserire queste attestazioni.
Quando l'IdP invia la risposta contenente le attestazioni a AWS, molte delle attestazioni in entrata vengono mappate alle AWS chiavi di contesto. Queste chiavi di contesto possono essere controllate nelle policy IAM utilizzando l'elemento `Condition`. L'elenco delle mappature disponibili è incluso nella sezione [Mappatura degli attributi SAML per considerare attendibili le chiavi contestuali delle AWS politiche](#saml-attribute-mapping).
## `Subject` e `NameID`
La risposta deve includere esattamente un elemento `SubjectConfirmation` con un elemento `SubjectConfirmationData` che include sia l’attributo `NotOnOrAfter` sia l’attributo `Recipient`. L'attributo Recipient deve includere un valore che corrisponda all'URL dell'endpoint di AWS accesso. Il tuo IdP può utilizzare il termine `ACS` o fare riferimento `Target` a questo attributo. `Recipient`
Se è richiesta la crittografia SAML, l’URL di accesso deve includere l’identificatore univoco assegnato da AWS al provider SAML e consultabile nella pagina dei dettagli del provider di identità. L’esempio seguente mostra il formato di URL di accesso con il `region-code` facoltativo.
`https://region-code.signin.aws.amazon.com/saml`
Nell’esempio seguente, l’URL di accesso include un identificatore univoco, per cui è necessario aggiungere /acs/ al percorso di accesso.
`https://region-code.signin.aws.amazon.com/saml/acs/IdP-ID`
Per un elenco dei *region-code* valori possibili, consulta la colonna **Regione** negli endpoint di [AWS accesso](https://docs.aws.amazon.com/general/latest/gr/signin-service.html). Per il AWS valore, puoi anche utilizzare l'endpoint di accesso globale. `https://signin.aws.amazon.com/saml`
Gli elementi `NameID` possono avere il valore persistente, transitorio o oppure possono essere costituiti dall'URI formato completo, come fornito dalla soluzione IdP. Un valore permanente indica che il valore in `NameID` è lo stesso per un utente da una sessione all'altra. Se il valore è transitorio, l'utente dispone di un valore `NameID` diverso per ogni sessione. Le interazioni Single Sign-on supportano i seguenti tipi di identificatori:
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:persistent`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:transient`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:entity`
Di seguito viene riportato un estratto di esempio. Sostituire con i propri valori i valori contrassegnati.
```
_cbb88bf52c2510eabe00c1642d4643f41430fe25e3
```
**Importante**
Al contrario, la chiave di contesto `saml:aud` proviene dall'attributo *recipient* SAML perché è l'equivalente SAML del campo del destinatario OIDC, ad esempio, `accounts.google.com:aud`.
## Attributo SAML `PrincipalTag`
(Facoltativo) Puoi utilizzare un elemento `Attribute` con l'attributo `Name` impostato su `https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey}`. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consultare [Passa i tag di sessione AWS STS](id_session-tags.md).
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag `Project` = `Marketing` e `CostCenter` = `12345`, utilizza il seguente attributo. Includi un elemento `Attribute` separato per ogni tag.
```
Marketing
12345
```
Per impostare i tag sopra elencati come transitivi, includere un altro elemento `Attribute` con l'attributo `Name` impostato a `https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys`. Questo è un attributo con più valori opzionale che imposta i tag di sessione come transitivi. I tag transitivi persistono quando utilizzi la sessione SAML per assumere un altro ruolo in AWS. Questo è noto come [concatenazione del ruolo](id_roles.md#iam-term-role-chaining). Ad esempio, per impostare entrambi i tag `CostCenter` e `Principal` come transitivi, utilizza il seguente attributo per specificare le chiavi.
```
Project
CostCenter
```
## Attributo SAML `Role`
Puoi utilizzare un elemento `Attribute` con l'attributo `Name` impostato su `https://aws.amazon.com/SAML/Attributes/Role` Questo elemento contiene uno o più elementi `AttributeValue` che elencano il ruolo e il provider di identità IAM a cui l'utente è mappato dall'IdP. [Il ruolo IAM e il provider di identità IAM sono specificati come una coppia delimitata da virgole nello stesso formato dei `PrincipalArn` parametri `RoleArn` and passati ARNs a SAML. AssumeRoleWith](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) Questo elemento deve contenere almeno una coppia ruolo-provider (elemento `AttributeValue`) e può contenere più coppie. Se l'elemento contiene più coppie, all'utente viene chiesto di scegliere il ruolo da assumere quando utilizza WebSSO per accedere alla Console di gestione AWS.
**Importante**
Il valore dell'attributo `Name` nel tag `Attribute` è sensibile alla distinzione tra maiuscolo/minuscolo. Il valore deve essere impostato esattamente su `https://aws.amazon.com/SAML/Attributes/Role`.
```
arn:aws:iam::account-number:role/role-name1,arn:aws:iam::account-number:saml-provider/provider-name
arn:aws:iam::account-number:role/role-name2,arn:aws:iam::account-number:saml-provider/provider-name
arn:aws:iam::account-number:role/role-name3,arn:aws:iam::account-number:saml-provider/provider-name
```
## Attributo SAML `RoleSessionName`
Puoi utilizzare un elemento `Attribute` con l'attributo `Name` impostato su `https://aws.amazon.com/SAML/Attributes/RoleSessionName` Questo elemento contiene un elemento `AttributeValue` che fornisce un identificatore per le credenziali temporanee emesse quando viene assunto il ruolo. È possibile utilizzare questa opzione per associare le credenziali temporanee all'utente che utilizza l'applicazione. Questo elemento viene utilizzato per visualizzare le informazioni sull'utente in. Console di gestione AWS Il valore nell'elemento `AttributeValue` deve contenere tra 2 e 64 caratteri, può contenere solo caratteri alfanumerici, caratteri di sottolineatura e i seguenti caratteri: **. , \$1 = @ -** (trattino). Non può contenere spazi. Il valore è in genere un ID utente (`john`) o un indirizzo e-mail (`johndoe@example.com`). Non deve essere un valore che include uno spazio, ad esempio il nome di visualizzazione di un utente (`John Doe`).
**Importante**
Il valore dell'attributo `Name` nel tag `Attribute` è sensibile alla distinzione tra maiuscolo/minuscolo. Il valore deve essere impostato esattamente su `https://aws.amazon.com/SAML/Attributes/RoleSessionName`.
```
user-id-name
```
## Attributo SAML `SessionDuration`
(Facoltativo) Puoi utilizzare un elemento `Attribute` con l'attributo `Name` impostato su `https://aws.amazon.com/SAML/Attributes/SessionDuration`. Questo elemento contiene un `AttributeValue` elemento che specifica per quanto tempo l'utente può accedere Console di gestione AWS prima di dover richiedere nuove credenziali temporanee. Il valore è un numero intero che rappresenta il numero di secondi per la sessione. Il valore può variare da 900 secondi (15 minuti) a 43.200 secondi (12 ore). Se questo attributo non è presente, la credenziale dura per un'ora (il valore predefinito del parametro `DurationSeconds` dell'API `AssumeRoleWithSAML`).
Per utilizzare questo attributo, devi configurare il provider SAML in modo che fornisca l'accesso Single Sign-On all'endpoint web di accesso Console di gestione AWS tramite console all'indirizzo. `https://region-code.signin.aws.amazon.com/saml` [Per un elenco dei *region-code* valori possibili, consulta la colonna **Regione negli endpoint di accesso.**AWS](https://docs.aws.amazon.com/general/latest/gr/signin-service.html) Facoltativamente, puoi utilizzare il seguente URL: `https://signin.aws.amazon.com/static/saml`. Si noti che questo attributo estende le sessioni solo alla Console di gestione AWS. Non può estendere la durata di altre credenziali. Tuttavia, se è presente in una chiamata API `AssumeRoleWithSAML`, può essere utilizzato per *abbreviare* la durata della sessione. La durata predefinita delle credenziali restituite dalla chiamata è di 60 minuti.
Si noti inoltre che, se viene definito anche un attributo `SessionNotOnOrAfter`, il valore ***inferiore*** dei due attributi, `SessionDuration` o `SessionNotOnOrAfter`, stabilisce la durata massima della sessione della console.
Quando si abilitano le sessioni della console con una durata estesa, aumenta il rischio di compromissione delle credenziali. Per mitigare questo rischio, è possibile disabilitare immediatamente le sessioni della console attiva per tutti i ruoli, scegliendo **Revoca sessioni** nella pagina **Riepilogo ruolo** della console IAM. Per ulteriori informazioni, consulta [Revocare le credenziali di sicurezza temporanee per i ruoli IAM](id_roles_use_revoke-sessions.md).
**Importante**
Il valore dell'attributo `Name` nel tag `Attribute` è sensibile alla distinzione tra maiuscolo/minuscolo. Il valore deve essere impostato esattamente su `https://aws.amazon.com/SAML/Attributes/SessionDuration`.
```
1800
```
## Attributo SAML `SourceIdentity`
(Facoltativo) Puoi utilizzare un elemento `Attribute` con l'attributo `Name` impostato su `https://aws.amazon.com/SAML/Attributes/SourceIdentity`. Questo elemento contiene un elemento `AttributeValue` che fornisce un identificatore per la persona o l'applicazione che utilizza un ruolo IAM. [Il valore dell'identità di origine persiste quando utilizzi la sessione SAML per assumere un altro ruolo, AWS noto come concatenamento dei ruoli.](id_roles.md#iam-term-role-chaining) Il valore per l'identità di origine è presente nella richiesta per ogni operazione eseguita durante la sessione del ruolo. Il valore impostato non può essere modificato durante la sessione del ruolo. Gli amministratori possono quindi utilizzare AWS CloudTrail i log per monitorare e controllare le informazioni sull'identità di origine per determinare chi ha eseguito azioni con ruoli condivisi.
Il valore nell'elemento `AttributeValue` deve contenere tra 2 e 64 caratteri, può contenere solo caratteri alfanumerici, caratteri di sottolineatura e i seguenti caratteri: **. , \$1 = @ -** (trattino). Non può contenere spazi. Il valore è in genere un attributo associato all'utente, ad esempio un ID utente (`john`) o un indirizzo e-mail (`johndoe@example.com`). Non deve essere un valore che include uno spazio, ad esempio il nome di visualizzazione di un utente (`John Doe`). Per ulteriori informazioni sull'utilizzo dell'identità di origine, consulta [Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti](id_credentials_temp_control-access_monitor.md).
**Importante**
Se l'asserzione SAML è configurata per utilizzare l'attributo [`SourceIdentity`](#saml_sourceidentity), allora la policy di attendibilità del ruolo deve includere anche l'operazione `sts:SetSourceIdentity` altrimenti l'operazione di assunzione del ruolo avrà esito negativo. Per ulteriori informazioni sull'utilizzo dell'identità di origine, consulta [Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti](id_credentials_temp_control-access_monitor.md).
Per inviare un attributo dell'identità di origine, includi l'elemento `AttributeValue` che specifica il valore dell'identità di origine. Ad esempio, per inviare `Diego` dell'identità di origine, utilizza il seguente attributo.
```
Diego
```
## Mappatura degli attributi SAML per considerare attendibili le chiavi contestuali delle AWS politiche
Le tabelle in questa sezione elencano gli attributi SAML comunemente usati e il modo in cui sono mappati alle chiavi di contesto delle condizioni delle policy in AWS. Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi con i valori che sono inclusi nelle asserzioni incluse in una richiesta di accesso SAML.
**Importante**
Queste chiavi sono disponibili solo nelle policy di affidabilità IAM (policy che determinano chi può assumere un ruolo) e non sono applicabili alle policy di autorizzazione.
Nella tabella degli attributi eduPerson e eduOrg, i valori vengono digitati come stringhe o come elenchi di stringhe. Per i valori di stringa, puoi testare questi valori nelle policy di attendibilità IAM utilizzando le condizioni `StringEquals` o `StringLike`. Per i valori che contengono un elenco di stringhe, è possibile utilizzare gli `ForAnyValue`operatori del set di policy`ForAllValues` [ e ](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys) per un test dei valori delle policy di attendibilità.
**Nota**
Dovresti includere solo un claim per chiave di AWS contesto. Se ne include più di una, verrà mappata una sola attestazione.
La tabella riportata di seguito mostra gli attributi eduPerson ed eduOrg.
| Attributo eduPerson o eduOrg (chiave `Name`) | Si associa a questa chiave di AWS contesto (`FriendlyName`chiave) | Tipo |
| --- | --- | --- |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.1` | `eduPersonAffiliation` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.2` | `eduPersonNickname` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.3` | `eduPersonOrgDN` | Stringa |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.4` | `eduPersonOrgUnitDN` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.5` | `eduPersonPrimaryAffiliation` | Stringa |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.6` | `eduPersonPrincipalName` | Stringa |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.7` | `eduPersonEntitlement` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.8` | `eduPersonPrimaryOrgUnitDN` | Stringa |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.9` | `eduPersonScopedAffiliation` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.10` | `eduPersonTargetedID` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.1.1.11` | `eduPersonAssurance` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.2.1.2` | `eduOrgHomePageURI` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.2.1.3` | `eduOrgIdentityAuthNPolicyURI` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.2.1.4` | `eduOrgLegalName` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.2.1.5` | `eduOrgSuperiorURI` | Elenco di stringhe |
| `urn:oid:1.3.6.1.4.1.5923.1.2.1.6` | `eduOrgWhitePagesURI` | Elenco di stringhe |
| `urn:oid:2.5.4.3` | `cn` | Elenco di stringhe |
La tabella riportata di seguito mostra gli attributi di Active Directory.
| Attributo AD | Si associa a questa chiave di AWS contesto | Tipo |
| --- | --- | --- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name` | `name` | Stringa |
| `http://schemas.xmlsoap.org/claims/CommonName` | `commonName` | Stringa |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname` | `givenName` | Stringa |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname` | `surname` | Stringa |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress` | `mail` | Stringa |
| `http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid` | `uid` | Stringa |
La tabella riportata di seguito mostra gli attributi X.500.
| Attributo X.500 | Si associa a questa chiave di AWS contesto | Tipo |
| --- | --- | --- |
| `2.5.4.3` | `commonName` | Stringa |
| `2.5.4.4` | `surname` | Stringa |
| `2.4.5.42` | `givenName` | Stringa |
| `2.5.4.45` | `x500UniqueIdentifier` | Stringa |
| `0.9.2342.19200300100.1.1` | `uid` | Stringa |
| `0.9.2342.19200300100.1.3` | `mail` | Stringa |
| `0.9.2342.19200300.100.1.45` | `organizationStatus` | Stringa |