Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare il provider di identità SAML 2.0 con una relazione di attendibilità della parte affidabile e aggiunta di attestazioni
Quando crei un provider di identità IAM e un ruolo per l'accesso SAML, indichi ad AWS il provider di identità (IdP) esterno e le operazioni che i rispettivi utenti sono autorizzati a effettuare. Il passaggio successivo consiste nell'indicare AWS all'IdP come fornitore di servizi. Questa relazione è nota come relazione di trust tra il provider di identità e AWS. L'esatto processo per aggiungere una relazione di trust dipende dall'IdP utilizzato. Per ulteriori informazioni, consulta la documentazione relativa al tuo software di gestione delle identità.
Molti provider di identità permettono di specificare un URL da cui è possibile leggere un documento XML con informazioni su certificati e parti attendibili. Per AWS, utilizza https:// oppure region-code.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml. Per un elenco dei possibili valori di region-code, consulta la colonna Region (Regione) in Endpoint di accesso AWS.
Se non è possibile specificare direttamente un URL, scaricare il documento XML dall'URL precedente e importarlo nel software dell'IdP.
È inoltre necessario creare regole di attestazione appropriate nel proprio IdP che specificano AWS come parte attendibile. Quando il provider di identità invia una risposta SAML agli endpoint AWS, include un'asserzione SAML che contiene una o più attestazioni. Un'attestazione consiste in un set di informazioni sull'utente e sui rispettivi gruppi. Una regola di attestazione mappa tali informazioni negli attributi SAML. In questo modo, puoi assicurarti che le risposte di autenticazione SAML del provider di identità contengano gli attributi necessari utilizzati da AWS nelle policy IAM per verificare le autorizzazioni per gli utenti federati. Per ulteriori informazioni, consulta i seguenti argomenti:
-
Panoramica del ruolo per consentire l'accesso SAML federato alle risorse AWS. In questo argomento viene descritto l'uso di chiavi specifiche SAML nelle policy IAM e le modalità di utilizzo per limitare le autorizzazioni per gli utenti federati SAML.
-
Configurare le asserzioni SAML per la risposta di autenticazione. In questo argomento viene descritto come configurare le attestazioni SAML che includono informazioni sull'utente. Le attestazioni sono raggruppate in un'asserzione SAML e incluse nella risposta SAML inviata ad AWS. Devi accertarti che le informazioni richieste dalle policy AWS siano incluse nell'asserzione SAML in un formato riconoscibile e utilizzabile da AWS.
-
Integrazione di provider di soluzioni SAML di terze parti con AWS. In questo argomento sono disponibili collegamenti alla documentazione fornita da organizzazioni di terze parti su come integrare le soluzioni di identità con AWS.
Nota
Per migliorare la resilienza della federazione, ti consigliamo di configurare l'IdP e la federazione AWS per supportare più endpoint di accesso SAML. Per ulteriori dettagli, consulta l'articolo del blog AWS sulla sicurezza Come utilizzare gli endpoint SAML regionali per il failover
