Erstellen eines SAML-Identitätsanbieters in IAM - AWS Identitäts- und Zugriffsverwaltung
Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (Konsole) Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines SAML-Identitätsanbieters in IAM

Ein IAM-SAML 2.0-Identitätsanbieter ist eine Entität in IAM, die einen externen Identitätsanbieter-Service (Identity Provider, IdP) beschreibt, der den Standard SAML 2.0 (Security Assertion Markup Language 2.0) unterstützt. Sie verwenden einen IAM-Identitätsanbieter, wenn Sie eine Vertrauensstellung zwischen einem SAML-kompatiblen IdP wie Shibboleth oder Active Directory Federation Services und einrichten möchten AWS, damit Benutzer in Ihrer Organisation auf - AWS Ressourcen zugreifen können. IAM-SAML-Identitätsanbieter werden als Auftraggeber in einer IAM-Vertrauensrichtlinie verwendet.

Weitere Informationen zu diesem Szenario finden Sie unter SAML 2.0-Verbund.

Sie können einen IAM-Identitätsanbieter in der AWS Management Console oder mit AWS CLI, Tools for Windows PowerShelloder API AWS -Aufrufen erstellen und verwalten.

Nach dem Erstellen eines SAML-Anbieters müssen Sie eine oder mehrere IAM-Rollen erstellen. Eine Rolle ist eine Identität in AWS , die keine eigenen Anmeldeinformationen hat (wie ein Benutzer). Aber in diesem Kontext ist eine Rolle dynamisch einem Verbundbenutzer zugewiesen, der vom Identitätsanbieter der Organisation authentifiziert wird. Die Rolle ermöglicht es dem Identitätsanbieter Ihres Unternehmens, temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS anzufordern. Die der Rolle zugewiesenen Richtlinien bestimmen, was die Verbundbenutzer in tun dürfen AWS. Weitere Informationen zum Erstellen einer Rolle für den SAML-Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund).

Nachdem Sie die Rolle erstellt haben, schließen Sie schließlich die SAML-Vertrauensstellung ab, indem Sie Ihren IdP mit Informationen zu AWS und den Rollen konfigurieren, die Ihre Verbundbenutzer verwenden sollen. Dies wird als Konfiguration der Vertrauensstellung zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Weitere Informationen zum Konfigurieren der Vertrauensstellung für die vertrauende Seite finden Sie unter Konfigurieren Sie Ihren SAML-2.0-IdP mit Vertrauensstellung für die vertrauende Seite und Hinzufügen von Ansprüchen.

Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (Konsole)

Sie können die verwenden AWS Management Console , um IAM-SAML-Identitätsanbieter zu erstellen und zu löschen.

So erstellen Sie einen IAM-SAML-Identitätsanbieter (Konsole)

  1. Bevor Sie einen IAM-SAML-Identitätsanbieter erstellen können, benötigen Sie das SAML-Metadatendokument, das Sie vom IdP erhalten. Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Um das Metadatendokument zu generieren, verwenden Sie die Identitätsverwaltungssoftware, die Ihr Unternehmen als IdP nutzt. Anweisungen zur Konfiguration vieler verfügbarer IdPs für die Arbeit mit AWS, einschließlich der Generierung des erforderlichen SAML-Metadatendokuments, finden Sie unter Integrieren von SAML-Lösungsanbietern von Drittanbietern mit AWS.

    Wichtig

    Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad++ als UTF-8 codieren.

    Das x.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das x.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das x.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IdP-Erstellung fehl und gibt den Fehler „Unable to parse metadata“ (Metadaten können nicht analysiert werden) zurück.

    Gemäß der Definition im SAML V2.0 Metadata Interoperability Profile Version 1.0 bewertet IAM den Ablauf des X.509-Zertifikats des Metadatendokuments weder, noch ergreift es entsprechende Maßnahmen.

  2. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter erstellen.

  4. Wählen Sie für die Anbieterkonfiguration SAML.

  5. Geben Sie einen Namen für den Identitätsanbieter ein.

  6. Klicken Sie unter Metadaten-Dokument auf Datei auswählen und geben Sie das SAML-Metadatendokument an, das Sie unter Schritt 1 heruntergeladen haben.

  7. (Optional) Für Tags hinzufügen können Sie Schlüssel-Wert-Paare hinzufügen, um Ihr zu identifizieren und zu organisieren IdPs. Sie können auch Tags verwenden, um den Zugriff auf AWS -Ressourcen zu steuern. Weitere Informationen zum Markieren von SAML-Identitätsanbietern finden Sie unter Markieren von IAM-SAML-Identitätsanbietern.

    Wählen Sie Add tag. Geben Sie Werte für jedes Tag-Schlüsselwertpaar ein.

  8. Verifizieren Sie die angegebenen Informationen. Wenn Sie fertig sind, wählen Sie Anbieter hinzufügen.

  9. Weisen Sie Ihrem Identitätsanbieter eine IAM-Rolle zu, um externen Benutzeridentitäten, die von Ihrem Identitätsanbieter verwaltet werden, Berechtigungen für den Zugriff auf AWS Ressourcen in Ihrem Konto zu erteilen. Weitere Informationen zum Erstellen von Rollen für den Identitätsverbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund).

    Anmerkung

    SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

So löschen Sie einen SAML-Anbieter (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter.

  3. Aktivieren Sie das Kontrollkästchen neben dem Identitätsanbieter, den Sie löschen möchten.

  4. Wählen Sie Löschen aus. Ein neues Fenster wird geöffnet.

  5. Bestätigen Sie, dass Sie den Anbieter löschen möchten, indem Sie das Wort delete in das Feld eingeben. Wählen Sie dann Löschen.

Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)

Sie können die verwenden AWS CLI , um SAML-Anbieter zu erstellen und zu verwalten.

Bevor Sie einen IAM-Identitätsanbieter erstellen können, benötigen Sie das SAML-Metadatendokument, das Sie vom IdP erhalten. Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Um das Metadatendokument zu generieren, verwenden Sie die Identitätsverwaltungssoftware, die Ihr Unternehmen als IdP nutzt. Anweisungen zur Konfiguration vieler verfügbarer IdPs für die Arbeit mit AWS, einschließlich der Generierung des erforderlichen SAML-Metadatendokuments, finden Sie unter Integrieren von SAML-Lösungsanbietern von Drittanbietern mit AWS.

Wichtig

Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad++ als UTF-8 codieren.

Das x.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das x.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das x.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IdP-Erstellung fehl und gibt den Fehler „Unable to parse metadata“ (Metadaten können nicht analysiert werden) zurück.

Gemäß der Definition im SAML V2.0 Metadata Interoperability Profile Version 1.0 bewertet IAM den Ablauf des X.509-Zertifikats des Metadatendokuments weder, noch ergreift es entsprechende Maßnahmen.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument hoch (AWS CLI)
So laden Sie ein neues Metadaten-Dokument für einen IAM-Identitätsanbieter hoch (AWS CLI)
Markieren eines vorhandenen IAM-Identitätsanbieters (AWS CLI)
Auflisten von Tags für bestehenden IAM-Identitätsanbieter (AWS CLI)
Entfernen von Tags auf einem bestehenden IAM-Identitätsanbieter (AWS CLI)
So löschen Sie einen IAM-SAML-Identitätsanbieter (AWS CLI)

  1. (Optional) Führen Sie zum Auflisten der Informationen für alle Anbieter (z. B. ARN, Erstellungsdatum und Ablaufdatum) folgenden Befehl aus:

  2. (Optional) Führen Sie zum Abrufen von Informationen über einen bestimmten Anbieter (z. B. ARN, Erstellungsdatum und Ablaufdatum) folgenden Befehl aus:

  3. Führen Sie zum Löschen eines IAM-Identitätsanbieters den folgenden Befehl aus:

Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS API)

Sie können die AWS -API verwenden, um SAML-Anbieter zu erstellen und zu verwalten.

Bevor Sie einen IAM-Identitätsanbieter erstellen können, benötigen Sie das SAML-Metadatendokument, das Sie vom IdP erhalten. Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Um das Metadatendokument zu generieren, verwenden Sie die Identitätsverwaltungssoftware, die Ihr Unternehmen als IdP nutzt. Anweisungen zur Konfiguration vieler verfügbarer IdPs für die Arbeit mit AWS, einschließlich der Generierung des erforderlichen SAML-Metadatendokuments, finden Sie unter Integrieren von SAML-Lösungsanbietern von Drittanbietern mit AWS.

Wichtig

Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Außerdem muss das x.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, eine Schlüsselgröße von mindestens 1 024 Bit verwenden. Wenn die Schlüsselgröße kleiner ist, schlägt die IdP-Erstellung mit der Fehlermeldung "Unable to parse metadata" (Metadaten können nicht analysiert werden) fehl. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad++ als UTF-8 codieren.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument (AWS API) hoch
So laden Sie ein neues Metadatendokument für einen IAM-Identitätsanbieter (AWS API) hoch
So markieren Sie einen vorhandenen IAM-Identitätsanbieter (AWS API)
Auflisten von Tags für einen vorhandenen IAM-Identitätsanbieter (AWS API)
So entfernen Sie Tags auf einem vorhandenen IAM-Identitätsanbieter (AWS API)
So löschen Sie einen IAM-Identitätsanbieter (AWS API)

  1. (Optional) Um Informationen für alle aufzulisten IdPs, z. B. den ARN, das Erstellungsdatum und den Ablauf, rufen Sie die folgende Operation auf:

  2. (Optional) Rufen Sie zum Abrufen von Informationen über einen bestimmten Anbieter (z. B. ARN, Erstellungsdatum und Ablaufdatum) folgende Operation auf:

  3. Rufen Sie zum Löschen eines Identitätsanbieters die folgende Operation auf: