本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用信賴方信任和新增宣告來設定您的 SAML 2.0 IdP
當您為 SAML 存取權建立 IAM 身分提供者和角色時,基本上是在告知 AWS 有關允許身分提供者 (IdP) 和其使用者執行哪些動作。您的下一步是告訴 IdP AWS 作為服務提供商。這稱為在 IdP 和 之間新增依賴方信任 AWS。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱身分管理軟體的文件。
許多可 IdPs 讓您指定一個 URL,IdP 可從中讀取包含信賴憑證者資訊和憑證的 XML 文件。對於 AWS,使用https://或region-code.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml。對於可能的 region-code 值清單,請參閱 AWS 登入端點中的 Region (區域) 欄位。
如果您無法直接指定 URL,請從先前的 URL 下載 XML 文件,然後匯入到您的 IdP 軟體。
您還需要在 IdP 中建立指定 AWS 為信賴憑證者的適當宣告規則。IdP 將 SAML 回應傳送至 AWS 端點時,它會包含包含一或多個宣告的 S AML 宣告。宣告是和使用者及其群組相關的資訊。宣告規則將該資訊對應到 SAML 屬性。這可讓您確保來自 IdP 的 SAML 身份驗證回應包含 IAM 政策中 AWS 用來檢查聯合身分使用者許可的必要屬性。如需詳細資訊,請參閱下列主題:
-
允許SAML同盟存取資源的角色概觀 AWS. 此主題使用 SAML 特定索引鍵討論 IAM 政策,以及如何使用這些政策來限制 SAML 聯合身分使用者的許可。
-
設定驗證回SAML應的宣告. 此主題討論如何設定 SAML 宣告,其包含有關使用者的資訊。聲明已捆綁在 SAML 聲明中,並且包含在傳送到 AWS的 SAML 回應中。您必須確保 AWS 原則所需的資訊 AWS 以可辨識和使用的形式包含在 SAML 宣告中。
-
將第三方 SAML 解決方案提供者與 AWS。 本主題提供協力廠商組織提供的文件連結,說明如何將身分識別解決方案與整合 AWS。
注意
若要改善聯合彈性,建議您將 IdP 和 AWS
聯合設定為支援多個 SAML 登入端點。如需詳細資訊,請參閱 AWS 安全性部落格文章如何使用地區性 SAML 端點進行容錯移轉
