使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告
當您為 SAML 存取權建立 IAM 身分提供者和角色時,基本上是在告知 AWS 有關允許身分提供者 (IdP) 和其使用者執行哪些動作。您的下一個步驟是以服務提供者身分告訴 IdP 有關 AWS 之事。這稱為在 IdP 和 之間新增依賴方信任AWS。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱身分管理軟體的文件。
許多 IdP 都可以讓您指定 URL,以供 IdP 從其讀取包含依賴方資訊和憑證的 XML 文件。對於 AWS,使用 https:// 或者 region-code.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml。對於可能的 region-code 值清單,請參閱 AWS 登入端點中的 Region (區域) 欄位。
如果您無法直接指定 URL,請從先前的 URL 下載 XML 文件,然後匯入到您的 IdP 軟體。
您也需要在 IdP 建立適當的宣告規則,指定 AWS 成為依賴方。IdP 將 SAML 回應傳送至 AWS 端點時,會包含 SAML 聲明,其中包含一或多個宣告。宣告是和使用者及其群組相關的資訊。宣告規則將該資訊對應到 SAML 屬性。這可讓您確保來自 IdP 的 SAML 身分驗證回應包含 AWS 用於 IAM 政策的必要屬性,以檢查聯合身分使用者的許可。如需詳細資訊,請參閱下列主題:
-
用於允許對 AWS 資源進行 SAML 聯合身分存取的角色的概觀. 此主題使用 SAML 特定索引鍵討論 IAM 政策,以及如何使用這些政策來限制 SAML 聯合身分使用者的許可。
-
為身分驗證回應設定 SAML 聲明. 此主題討論如何設定 SAML 宣告,其包含有關使用者的資訊。聲明已捆綁在 SAML 聲明中,並且包含在傳送到 AWS 的 SAML 回應中。您必須確保 AWS 政策所需的資訊以 AWS 可識別和使用的形式包含在 SAML 聲明中。
-
將第三方 SAML 解決方案提供者與 AWS 整合此主題提供與文件的連結,而該文件乃由第三方組織提供,說明如何整合身分解決方案與 AWS。
注意
若要改善聯合彈性,建議您將 IdP 和 AWS 聯合設定為支援多個 SAML 登入端點。如需詳細資訊,請參閱 AWS 安全部落格文章如何使用區域 SAML 端點進行容錯移轉
