配置具有依赖方信任的 SAML 2.0 IdP 并添加陈述
当您创建 IAM 身份提供程序和用于 SAML 访问的角色时,您实际上将告知 Amazon 关于外部身份提供程序 (IdP) 的信息以及允许其用户执行的操作。下一步是让 IdP 知道 Amazon 作为服务提供商。这称为在 IdP 和 Amazon 之间添加依赖方信托。添加信赖方信任的具体步骤取决于您使用的 IdP。有关详细信息,请参阅身份管理软件对应的文档。
许多 IdP 允许指定一个 URL,他们可从中读取包含信赖方信息和证书的 XML 文档。对于 Amazon,使用 https://
或 region-code
.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml
。有关可能的 region-code
值的列表,请参阅 Amazon 登录端点中的 Region(区域)列。
如果您无法直接指定 URL,请从之前的 URL 下载 XML 文档,然后将其导入您的 IdP 软件。
您还需要在指定 Amazon 作为信赖方的 IdP 中,创建相应的声明规则。当 IdP 向 Amazon 终端节点发送 SAML 响应时,它包括具有一个或多个索赔 的 SAML 断言。断言是有关用户及其组的信息。断言规则将该信息映射到 SAML 属性中。这可确保来自 IdP 的 SAML 身份验证响应包含 IAM policy 中 Amazon 用于检查联合身份用户权限的必要属性。有关更多信息,请参阅以下主题:
-
用于允许对 Amazon 资源进行 SAML 联合访问的角色的概述本主题将讨论如何在 IAM policy 中使用特定于 SAML 的键以及如何使用它们限制 SAML 联合身份用户的权限。
-
为身份验证响应配置 SAML 断言。. 本主题将讨论如何配置包括用户相关信息的 SAML 陈述。将声明捆绑到 SAML 断言中并包括在发送到 Amazon 的 SAML 响应中。您必须确保 Amazon 策略所需的信息以 Amazon 可识别和使用的形式包括在 SAML 断言中。
-
将第三方 SAML 解决方案提供者与 Amazon 集成。本主题提供了由第三方组织提供的关于如何与 Amazon 集成身份解决方案的文档链接。
注意
为了提高联合身份验证弹性,我们建议您将 IdP 和Amazon联合身份验证配置为支持多个 SAML 登录端点。有关详细信息,请参阅 Amazon 安全博客文章如何使用区域性 SAML 端点进行失效转移