AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建 SAML 身份提供商

SAML 2.0 身份提供商是 IAM 中的一个实体,该实体描述了支持 SAML 2.0 (安全断言标记语言 2.0) 标准的身份提供商 (IdP) 服务。如果您希望在与 SAML 兼容的 IdP(例如,Shibboleth 或 Active Directory 联合身份验证服务)与 AWS 之间建立信任,以便组织中的用户能够访问 AWS 资源,则需要使用 SAML 身份提供商。IAM 中的 SAML 身份提供商用作 IAM 信任策略中的委托人。

有关此方案的更多信息,请参阅关于基于 SAML 2.0 的联合身份验证

您可以在 AWS 管理控制台中或通过使用 AWS CLI、Windows PowerShell 工具 或 AWS API 调用,创建和管理 SAML 身份提供商。

创建 SAML 提供商后,必须创建一个或多个 IAM 角色。角色是 AWS 中的一个实体,它没有自己的凭证(与用户一样)。但在此上下文中,角色将动态分配给由组织的身份提供商 (IdP) 验证的联合身份用户。此角色允许组织的 IdP 请求临时安全凭证以便访问 AWS。分配给此角色的策略决定了联合身份用户可在 AWS 中执行的操作。要创建用于 SAML 联合的角色,请参阅针对第三方身份提供商创建角色 (联合)

最后,在创建角色后,您可通过配置包含有关 AWS 的信息的 IdP 以及希望联合身份用户使用的角色来完成 SAML 信任。这称为在 IdP 和 AWS 之间配置信赖方信任。要配置信赖方信任,请参阅配置具有信赖方信任的 SAML 2.0 IdP 并添加断言

创建和管理 SAML 身份提供商(控制台)

您可以使用 AWS 管理控制台创建和删除 SAML 身份提供商。

创建 SAML 身份提供商(控制台)

  1. 您需要先上传从 IdP 处获取的 SAML 元数据文档,其中包括发布者名称、过期信息以及可用来验证从 IdP 处收到的 SAML 身份验证响应(断言)的密钥,然后才能创建 SAML 身份提供商。要生成元数据文档,可使用您的组织用作其 IdP 的身份管理软件。有关如何配置许多可用 IdP 以使用 AWS(包括如何生成所需的 SAML 元数据文档)的说明,请参阅与 AWS 集成第三方 SAML 解决方案提供商

    重要

    元数据文件必须采用不含字节顺序标记 (BOM) 的 UTF-8 格式编码。此外,作为 SAML 元数据文档一部分,x.509 证书必须使用长度至少为 1024 位的密钥。如果密钥过短,则 IdP 将创建失败,并显示“无法解析元数据”这一错误消息。要删除 BOM,您可以使用 Notepad++ 等文本编辑工具以 UTF-8 格式对文件进行编码。

  2. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  3. 在导航窗格中,单击 Identity Providers (身份提供商),然后单击 Create Provider (创建 SAML 提供商)

  4. 对于 Provider Type,请单击 Choose a provider type,然后单击 SAML

  5. 键入身份提供商的名称。

  6. 对于 Metadata Document,请单击 Choose File,指定您在步骤 1 中下载的 SAML 元数据文档,然后单击 Open。单击 Next Step (下一步)

  7. 验证您提供的信息,然后单击 Create (创建)

删除 SAML 提供商(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Identity Providers (身份提供商)

  3. 选中要删除的身份提供商旁边的复选框。

  4. 单击 Delete Providers (删除提供商)

创建和管理 SAML 提供商 (AWS CLI)

您可使用 AWS CLI 创建和管理 SAML 提供商。

创建身份提供商并上传元数据文档 (AWS CLI)

为 SAML 身份提供商上传新的元数据文档 (AWS CLI)

删除 SAML 身份提供商 (AWS CLI)

  1. (可选)要列出所有 IdP 的信息(例如 ARN、创建日期和过期时间),请运行以下命令:

  2. (可选)要获取有关特定提供商的信息(例如 ARN、创建日期和过期时间),请运行以下命令:

  3. 要删除 IdP,请运行以下命令:

创建和管理 SAML 提供商 (AWS API)

您可使用 AWS API 创建和管理 SAML 提供商。

创建身份提供商并上传元数据文档 (AWS API)

为 SAML 身份提供商上传新的元数据文档 (AWS API)

删除 SAML 身份提供商 (AWS API)

  1. (可选)要列出所有 IdP 的信息(例如 ARN、创建日期和过期时间),请调用以下操作:

  2. (可选)要获取有关特定提供商的信息(例如 ARN、创建日期和过期时间),请调用以下操作:

  3. 要删除 IdP,请调用以下操作: