AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

配置具有信赖方信任的 SAML 2.0 IdP 并添加断言

当您在 IAM 中创建 SAML 提供商和用于 SAML 访问的角色时,您实际上将告知 AWS 关于身份提供商 (IdP) 的信息以及其用户允许执行的操作。下一步是让 IdP 知道 AWS 作为服务提供商。这称为在 IdP 与 AWS 之间添加信赖方信任。添加信赖方信任的具体步骤取决于您使用的 IdP;有关详细信息,请参阅您的身份管理软件文档。

许多 IdP 允许指定一个 URL,他们可从中读取包含信赖方信息和证书的 XML 文档。对于 AWS,您可以使用 https://signin.aws.amazon.com/static/saml-metadata.xml

如果您无法直接指定 URL,请从之前的 URL 下载 XML 文档,然后将其导入您的 IdP 软件。

您还需要在指定 AWS 作为信赖方的 IdP 中,创建相应的断言规则。当 IdP 向 AWS 终端节点发送 SAML 响应时,它包括具有一个或多个索赔的 SAML 断言。断言是有关用户及其组的信息。断言规则将该信息映射到 SAML 属性中。这可确保来自 IdP 的 SAML 身份验证响应包含 IAM 策略中 AWS 用于检查联合身份用户权限的必要属性。有关更多信息,请参阅以下主题: