配置具有信赖方信任的 SAML 2.0 IdP 并添加陈述 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置具有信赖方信任的 SAML 2.0 IdP 并添加陈述

当您创建 IAM 身份提供程序和用于 SAML 访问的角色时,您实际上将告知 Amazon 关于外部身份提供程序 (IdP) 的信息以及允许其用户执行的操作。下一步是让 IdP 知道 Amazon 作为服务提供商。这称为在 IdP 和 Amazon 之间添加依赖方信托。添加信赖方信任的具体步骤取决于您使用的 IdP。有关详细信息,请参阅身份管理软件对应的文档。

许多 IdP 允许指定一个 URL,他们可从中读取包含信赖方信息和证书的 XML 文档。对于 Amazon,使用 https://region-code.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml。有关可能的 region-code 值的列表,请参阅 Amazon 登录端点中的 Region(区域)列。

如果您无法直接指定 URL,请从之前的 URL 下载 XML 文档,然后将其导入您的 IdP 软件。

您还需要在指定 Amazon 作为信赖方的 IdP 中,创建相应的声明规则。当 IdP 向 Amazon 终端节点发送 SAML 响应时,它包括具有一个或多个索赔 的 SAML 断言。断言是有关用户及其组的信息。断言规则将该信息映射到 SAML 属性中。这可确保来自 IdP 的 SAML 身份验证响应包含 IAM policy 中 Amazon 用于检查联合身份用户权限的必要属性。有关更多信息,请参阅以下主题:

注意

为了提高联合身份验证弹性,我们建议您将 IdP 和Amazon联合身份验证配置为支持多个 SAML 登录端点。有关详细信息,请参阅 Amazon 安全博客文章如何使用区域性 SAML 端点进行失效转移