對 SAML 2.0 聯合進行疑難排解 AWS - AWS Identity and Access Management
無效的 SAML 回應RoleSessionName 是必需的未獲得 AssumeRoleWith SAML 授權無效 RoleSessionName 字元無效的來源身分字元無效的回應簽章無法擔任角色無法剖析中繼資料指定的提供者不存在。DurationSeconds 超過 MaxSessionDuration回應沒有包括必要的對象

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 SAML 2.0 聯合進行疑難排解 AWS

使用此處的資訊,來協助您針對在使用 SAML 2.0 和 IAM 的聯合身分時所可能遇到的問題,進行故障診斷與排除。

主題

錯誤:您的請求包含無效的 SAML 回應。若要登出,請按一下這裡。

當身分提供者的 SAML 回應不包含 Name 設定為 https://aws.amazon.com/SAML/Attributes/Role 的屬性時,可能會發生此錯誤。該屬性必須包含一個或多個 AttributeValue 元素,每個元素都包含逗號分隔的字串對:

  • 使用者可以映射到角色的 ARN

  • SAML 供應商的 ARN

如需更多詳細資訊,請參閱 設定驗證回應的 SAML 宣告。若要在瀏覽器中查看 SAML 回應,請按照 如何在瀏覽器中查看 SAML 回應以排除故障 中列出的步驟操作。

錯誤: RoleSessionName AuthnResponse (服務: AWSSecurityTokenService;狀態碼:400;錯誤代碼: InvalidIdentityToken)

當身分提供者的 SAML 回應不包含 Name 設定為 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的屬性時,可能會發生此錯誤。屬性值是使用者的識別符,通常是使用者 ID 或電子郵件地址。

如需更多詳細資訊,請參閱 設定驗證回應的 SAML 宣告。若要在瀏覽器中查看 SAML 回應,請按照 如何在瀏覽器中查看 SAML 回應以排除故障 中列出的步驟操作。

錯誤:未授權執行 STS:使AssumeRole用 SAML(服務: AWSSecurityTokenService;狀態碼:403;錯誤代碼:) AccessDenied

如果 SAML 回應中指定的 IAM 角色拼寫錯誤或不存在,則會發生此錯誤。請務必使用與您角色完全相同的名稱,因為角色名稱區分大小寫。修正 SAML 服務供應商組態中角色的名稱。

只有當您的角色信任政策包含 sts:AssumeRoleWithSAML 動作時,才允許您存取。如果您的 SAML 聲明設定為使用 PrincipalTag 屬性,則您的信任政策也必須包含 sts:TagSession 動作。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS

如果您的角色信任政策中沒有 sts:SetSourceIdentity 許可,此錯誤可能發生。如果您的 SAML 聲明設定為使用 SourceIdentity 屬性,則您的信任政策也必須包含 sts:SetSourceIdentity 動作。如需來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作

如果聯合身分使用者沒有擔任該角色的許可,也會發生此錯誤。該角色必須具有任政策,該政策將 IAM SAML 身分提供者的 ARN 指定為 Principal。該角色還包含控制哪些使用者可以擔任該角色的條件。確認您的使用者滿足條件的要求。

如果 SAML 回應不包括其中包含 NameIDSubject,也會發生此錯誤。

如需詳細資訊,請參閱在 AWS 中為聯合身分使用者建立許可設定驗證回應的 SAML 宣告。若要在瀏覽器中查看 SAML 回應,請按照 如何在瀏覽器中查看 SAML 回應以排除故障 中列出的步驟操作。

錯誤: RoleSessionName 在 AuthnResponse 必須匹配 [A-ZA-Z_0-9 + =,.@-] {2,64}(服務: AWSSecurityTokenService; 狀態碼:400; 錯誤代碼:) InvalidIdentityToken

如果 RoleSessionName 屬性值太長或包含無效的字元,則會發生此錯誤。最大有效長度為 64 個字元。

如需更多詳細資訊,請參閱 設定驗證回應的 SAML 宣告。若要在瀏覽器中查看 SAML 回應,請按照 如何在瀏覽器中查看 SAML 回應以排除故障 中列出的步驟操作。

錯誤:來源身份必須符合 [A-ZA-Z_0-9+=, .@-] {2,64},而不是以 "aws:" (服務: AWSSecurityTokenService; 狀態碼:400; 錯誤碼:) InvalidIdentityToken

如果 sourceIdentity 屬性值太長或包含無效的字元,則會發生此錯誤。最大有效長度為 64 個字元。如需來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作

如需建立 SAML 聲明的詳細資訊,請參閱 設定驗證回應的 SAML 宣告。若要在瀏覽器中查看 SAML 回應,請按照 如何在瀏覽器中查看 SAML 回應以排除故障 中列出的步驟操作。

錯誤:回應簽章無效 (服務: AWSSecurityTokenService;狀態碼:400;錯誤碼: InvalidIdentityToken)

當身分提供者的聯合中繼資料與 IAM 身分提供者的中繼資料不相符時,則會發生此錯誤。例如,身分服務供應商的中繼資料檔案可能已變更以更新過期的憑證。從身分服務供應商處下載更新的 SAML 中繼資料檔案。然後使用aws iam update-saml-provider跨平台 CLI 命令或Update-IAMSAMLProvider PowerShell指令程式,在 IAM 中定義的 AWS 身分識別提供者實體中更新它。

錯誤:無法假定角色:發行者不存在於指定的提供者 (服務: AWSOpenIdDiscoveryService; 狀態碼:400; 錯誤碼: AuthSamlInvalidSamlResponseException)

如果 SAML 回應中的發行者與在聯合中繼資料檔案內宣告的發行者不相符,便會發生此錯誤。當您在 IAM 中建立身分提供者 AWS 時,中繼資料檔案已上傳至。

錯誤:無法剖析中繼資料。

如果沒有採用正確格式的中繼資料檔案,則可能會發生此錯誤。

在中建立或管理 SAML 身分識別提供者時 AWS Management Console,您必須從身分識別提供者擷取 SAML 中繼資料文件。

此中繼資料檔案包括發行者名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的金鑰。中繼資料檔案必須以 UTF-8 格式編碼,並且不含位元組順序記號 (BOM)。若要移除 BOM,您可以使用文字編輯工具,例如 Notepad++,將檔案編碼為 UTF-8。

包含在 SAML 中繼資料文件中的 x.509 憑證必須使用大小至少有 1024 位元的金鑰。此外,x.509 憑證也必須沒有任何重複的擴充。您可以使用擴充,但這些擴充只能在憑證中出現一次。如果 x.509 憑證不符合任一條件,IdP 建立會失敗,並傳回「無法剖析中繼資料」錯誤。

SAML V2.0 中繼資料互通性設定檔版本 1.0 所定義,IAM 既不會評估中繼資料文件的 X.509 憑證是否過期,也不會對其採取動作。

錯誤:指定的供應商不存在。

如果您在 SAML 聲明指定的供應商名稱與在 IAM 中設定的供應商名稱不符,就可能發生此錯誤。如需檢視供應商名稱的詳細資訊,請參閱 在 IAM 中建立 SAML 身分識別提供者

錯誤:要求 DurationSeconds 超過此角色 MaxSessionDuration 設定的值。

如果您擔 AWS CLI 任或 API 中的角色,則可能會發生此錯誤。

當您使用具有-saml CLI 的假設角色或使用 S AssumeRoleAML API 作業來擔任角色時,您可以指定參數的值。DurationSeconds您可以指定從 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定的值。如果您指定高於此設定的值,操作會失敗。例如,如果您指定 12 小時的工作階段持續時間,但是您的管理員設定最大工作階段持續時間為 6 小時,則您的操作會失敗。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定

錯誤:回應沒有包括必要的對象。

如果對象 URL 與 SAML 組態中的身分提供者不相符,就可能會發生此錯誤。請確定您的身分提供者 (IdP) 依存方識別符完全符合 SAML 組態中提供的對象 URL (實體 ID)。