创建 IAM SAML 身份提供商 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建 IAM SAML 身份提供商

IAM SAML 2.0 身份提供商是 IAM 中的一个实体,该实体描述支持 SAML 2.0(安全断言标记语言 2.0)标准的外部身份提供商 (IdP) 服务。如果您希望在与 SAML 兼容的 IdP(例如,Shibboleth 或 Active Directory 联合身份验证服务)和 Amazon 之间建立信任,以便组织中的用户能够访问 Amazon 资源,则需要使用 IAM 身份提供商。IAM SAML 身份提供商用作 IAM 信任策略中的委托人。

有关此方案的更多信息,请参阅关于基于 SAML 2.0 的联合身份验证

您可以在 Amazon Web Services Management Console中或通过使用 Amazon CLI、Tools for Windows PowerShell 或 Amazon API 调用,创建和管理 IAM 身份提供商。

创建 SAML 提供商后,必须创建一个或多个 IAM 角色。角色是 Amazon 中的一个实体,它没有自己的凭证(与用户一样)。但在此上下文中,角色将动态分配给由组织的 IdP 验证的联合身份用户。该角色允许组织的 IdP 请求临时安全凭证以便访问 Amazon。分配给该角色的策略决定了联合用户可在 Amazon 中执行的操作。要创建用于 SAML 联合的角色,请参阅针对第三方身份提供商创建角色(联合)

最后,在创建角色后,您可通过配置包含有关 Amazon 的信息的 IdP 以及希望联合身份用户使用的角色来完成 SAML 信任。这称为在 IdP 和 Amazon 之间配置信赖方信任。要配置信赖方信任,请参阅配置具有信赖方信任的 SAML 2.0 IdP 并添加断言

创建和管理 IAM 身份提供商(控制台)

您可以使用 Amazon Web Services Management Console创建和删除 IAM SAML 身份提供商。

创建 IAM SAML 身份提供商(控制台)

  1. 在创建 IAM SAML 身份提供商之前,您需要从 IdP 处获得的 SAML 元数据文档。此文档包括发布者名称、过期信息以及可用来验证从 IdP 处收到的 SAML 身份验证响应(断言)的密钥。要生成元数据文档,可使用您的组织用作其 IdP 的身份管理软件。有关如何配置许多可用 IdP 以使用 Amazon(包括如何生成所需的 SAML 元数据文档)的说明,请参阅将第三方 SAML 解决方案提供商与 Amazon 集成

    重要

    元数据文件必须采用不含字节顺序标记 (BOM) 的 UTF-8 格式编码。此外,作为 SAML 元数据文档的一部分,X.509 证书必须使用长度至少为 1024 位的密钥。如果密钥过短,则 IdP 将创建失败,并显示“无法解析元数据”这一错误消息。要删除 BOM,您可以使用 Notepad++ 等文本编辑工具以 UTF-8 格式对文件进行编码。

  2. 登录 Amazon Web Services Management Console 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  3. 在导航窗格中,选择身份提供商,然后选择添加提供商

  4. 对于配置提供商,选择 SAML

  5. 键入身份提供商的名称。

  6. 对于元数据文档,选择选择文件,指定您在 步骤 1 中下载的 SAML 元数据文档。

  7. (可选)对于 Add tags(添加标签),您可以添加键值对来帮助识别和组织您的 IdP。您还可以使用标签来控制对 Amazon 资源的访问。要了解有关标记 SAML 身份提供商的更多信息,请参阅标记 IAM SAML 身份提供商

    选择 Add tag。为每个标签键值对输入值。

  8. 验证您提供的信息。完成此操作后,选择添加提供商

  9. 将 IAM 角色分配至身份提供商,以向身份提供商托管的外部用户身份授予访问账户中的 Amazon 资源的权限。要了解有关为联合身份创建角色的更多信息,请参阅 针对第三方身份提供商创建角色(联合)

删除 SAML 提供商(控制台)

  1. 登录 Amazon Web Services Management Console 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择身份提供商

  3. 选中要删除的身份提供商旁边的单选按钮。

  4. 选择 Delete。此时会打开一个新窗口。

  5. 通过在字段中键入 delete 一词以确认您要删除此提供商。然后选择删除

创建和管理 IAM SAML 身份提供商 (Amazon CLI)

您可使用 Amazon CLI 创建和管理 SAML 提供商。

在创建 IAM 身份提供商之前,您需要从 IdP 处获得的 SAML 元数据文档。此文档包括发布者名称、过期信息以及可用来验证从 IdP 处收到的 SAML 身份验证响应(断言)的密钥。要生成元数据文档,可使用您的组织用作其 IdP 的身份管理软件。有关如何配置许多可用 IdP 以使用 Amazon(包括如何生成所需的 SAML 元数据文档)的说明,请参阅将第三方 SAML 解决方案提供商与 Amazon 集成

重要

元数据文件必须采用不含字节顺序标记 (BOM) 的 UTF-8 格式编码。此外,作为 SAML 元数据文档的一部分,X.509 证书必须使用长度至少为 1024 位的密钥。如果密钥过短,则 IdP 将创建失败,并显示“无法解析元数据”这一错误消息。要删除 BOM,您可以使用 Notepad++ 等文本编辑工具以 UTF-8 格式对文件进行编码。

创建 IAM 身份提供商并上传元数据文档 (Amazon CLI)

为 IAM 身份提供商上传新的元数据文档 (Amazon CLI)

要标记现有 IAM 身份提供商 (Amazon CLI)

要列出现有 IAM 身份提供商 (Amazon CLI) 的标签

要删除现有 IAM 身份提供商 (Amazon CLI) 的标签

要标记现有 IAM 身份提供商 (Amazon CLI)

要列出现有 IAM 身份提供商 (Amazon CLI) 的标签

要删除现有 IAM 身份提供商 (Amazon CLI) 的标签

删除 IAM SAML 身份提供商 (Amazon CLI)

  1. (可选)要列出所有提供商的信息(例如 ARN、创建日期和过期时间),请运行以下命令:

  2. (可选)要获取有关特定提供商的信息(例如 ARN、创建日期和过期时间),请运行以下命令:

  3. 要删除 IAM 身份提供商,请运行以下命令:

创建和管理 IAM SAML 身份提供商 (Amazon API)

您可使用 Amazon API 创建和管理 SAML 提供商。

在创建 IAM 身份提供商之前,您需要从 IdP 处获得的 SAML 元数据文档。此文档包括发布者名称、过期信息以及可用来验证从 IdP 处收到的 SAML 身份验证响应(断言)的密钥。要生成元数据文档,可使用您的组织用作其 IdP 的身份管理软件。有关如何配置许多可用 IdP 以使用 Amazon(包括如何生成所需的 SAML 元数据文档)的说明,请参阅将第三方 SAML 解决方案提供商与 Amazon 集成

重要

元数据文件必须采用不含字节顺序标记 (BOM) 的 UTF-8 格式编码。此外,作为 SAML 元数据文档的一部分,X.509 证书必须使用长度至少为 1024 位的密钥。如果密钥过短,则 IdP 将创建失败,并显示“无法解析元数据”这一错误消息。要删除 BOM,您可以使用 Notepad++ 等文本编辑工具以 UTF-8 格式对文件进行编码。

创建 IAM 身份提供商并上传元数据文档 (Amazon API)

为 IAM 身份提供商上传新的元数据文档 (Amazon API)

要标记现有 IAM 身份提供商 (Amazon API)

要列出现有 IAM 身份提供商 (Amazon API) 的标签

要删除现有 IAM 身份提供商的标签 (Amazon API)

要标记现有 IAM 身份提供商 (Amazon API)

要列出现有 IAM 身份提供商 (Amazon API) 的标签

要删除现有 IAM 身份提供商的标签 (Amazon API)

删除 IAM 身份提供商 (Amazon API)

  1. (可选)要列出所有 IdP 的信息(例如 ARN、创建日期和过期时间),请调用以下操作:

  2. (可选)要获取有关特定提供商的信息(例如 ARN、创建日期和过期时间),请调用以下操作:

  3. 要删除 IdP,请调用以下操作: