AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

配置具有信赖方信任的 SAML 2.0 IdP 并添加断言

当您在 IAM 中创建 SAML 提供商和用于 SAML 访问的角色时,您实际上将告知 AWS 关于身份提供商 (IdP) 的信息以及其用户允许执行的操作。下一步是让 IdP 知道 AWS 作为服务提供商。这称为在 IdP 与 AWS 之间添加信赖方信任。添加信赖方信任的具体步骤取决于您使用的 IdP;有关详细信息,请参阅您的身份管理软件文档。

很多 IdP 允许指定一个 URL,他们可从中读取包含信赖方信息和证书的 XML 文档。对于 AWS,您可以使用 https://signin.aws.amazon.com/static/saml-metadata.xml

如果您无法直接指定 URL,请从之前的 URL 下载 XML 文档,然后将其导入您的 IdP 软件。

您还需要在指定 AWS 作为信赖方的 IdP 中,创建相应的断言规则。当 IdP 向 AWS 终端节点发送 SAML 响应时,它包括具有一个或多个索赔的 SAML 断言。断言是有关用户及其组的信息。断言规则将该信息映射到 SAML 属性中。这可确保来自 IdP 的 SAML 身份验证响应包含 IAM 策略中 AWS 用于检查联合身份用户权限的必要属性。有关更多信息,请参阅以下主题: