So zeigen Sie eine SAML-Antwort in Ihrem Browser zwecks Fehlerbehebung an

In den folgenden Verfahren wird beschrieben, wie Sie die SAML-Antwort Ihres Dienstanbieters in Ihrem Browser anzeigen, wenn Sie ein Problem im Zusammenhang mit SAML 2.0 beheben.

Öffnen Sie in Ihrem jeweiligen Browser die Seite, auf der Sie das Problem reproduzieren können. Führen Sie dann die Schritte in Ihrem jeweiligen Browser aus:

Google Chrome

So zeigen Sie eine SAML-Antwort in Chrome an

Diese Schritte wurden mit der Version 106.0.5249.103 (Official Build) (arm64) von Google Chrome getestet. Wenn Sie eine andere Version verwenden, müssen Sie diese Schritte möglicherweise entsprechend anpassen.

1. Drücken Sie F12, um die Developer-Tools-Konsole zu starten.

2. Wählen Sie die Registerkarte Network (Netzwerk) und dann oben links im Fenster Developer Tools (Entwicklertools) die Option Preserve log (Protokoll beibehalten) aus.

3. Reproduzieren Sie das Problem.

4. (Optional) Wenn die Spalte Method (Methode) im Protokollbereich Developer Tools (Entwicklertools) Network (Netzwerk) nicht sichtbar ist, klicken Sie mit der rechten Maustaste auf eine beliebige Spaltenbezeichnung, und wählen Sie Method (Methode) aus, um die Spalte hinzuzufügen.

5. Suchen Sie im Protokollbereich Developer Tools (Entwicklertools) Network (Netzwerk) nach einem SAML-Beitrag. Wählen Sie diese Zeile aus und öffnen Sie dann oben die Registerkarte Payload (Nutzlast). Suchen Sie nach dem Element SAMLResponse, das die kodierte Anforderung enthält. Der zugehörige Wert ist die Base64-kodierte Antwort.

Mozilla Firefox

So zeigen Sie eine SAML-Antwort in Firefox an

Diese Schritte wurden mit der Mozilla-Firefox-Version 105.0.3 (64-bit) getestet. Wenn Sie eine andere Version verwenden, müssen Sie diese Schritte möglicherweise entsprechend anpassen.

1. Drücken Sie F12, um die Web-Developer-Tools-Konsole zu starten.

2. Wählen Sie die Registerkarte Network (Netzwerk).

3. Klicken Sie oben rechts im Fenster Web Developer Tools (Entwicklertools) auf „Options“ (Optionen) (das kleine Zahnradsymbol). Wählen Sie Persist logs (Protokolle beibehalten) aus.

4. Reproduzieren Sie das Problem.

5. (Optional) Wenn die Spalte Method (Methode) im Protokollbereich Web Developer Tools (Webentwicklertools) Network (Netzwerk) nicht sichtbar ist, klicken Sie mit der rechten Maustaste auf eine beliebige Spaltenbezeichnung, und wählen Sie Method (Methode) aus, um die Spalte hinzuzufügen.

6. Suchen Sie in der Tabelle nach einer POST SAML. Wählen Sie diese Zeile aus, rufen Sie dann die Registerkarte Request (Anfrage) auf und suchen Sie das Element SAMLResponse. Der zugehörige Wert ist die Base64-kodierte Antwort.

Apple Safari

So zeigen Sie eine SAML-Antwort in Safari an

Diese Schritte wurden mit Version 16.0 (17614.1.25.9.10, 17614) von Apple Safari getestet. Wenn Sie eine andere Version verwenden, müssen Sie diese Schritte möglicherweise entsprechend anpassen.

1. Aktivieren Sie Web Inspector in Safari. Öffnen Sie das Fenster Preferences (Präferenzen), klicken Sie auf die Registerkarte Advanced (Erweitert) und wählen Sie dann die Option für Show Develop menu in the menu bar (Menü "Entwickeln" in der Menüleiste anzeigen).

2. Nun können Sie Web Inspector öffnen. Wählen Sie in der Menüleiste Develop (Entwickeln) und dann Show Web Inspector (Web Inspector anzeigen) aus.

3. Wählen Sie die Registerkarte Network (Netzwerk).

4. Wählen Sie oben links im Fenster Web Inspector „Options“ (Optionen) aus (das kleine Kreissymbol mit drei horizontalen Linien). Wählen Sie Preserve log (Protokoll beibehalten) aus.

5. (Optional) Wenn die Spalte Method (Methode) im Protokollbereich Web Developer Inspector Network (Netzwerk) nicht sichtbar ist, klicken Sie mit der rechten Maustaste auf eine beliebige Spaltenbezeichnung, und wählen Sie Method (Methode) aus, um die Spalte hinzuzufügen.

6. Reproduzieren Sie das Problem.

7. Suchen Sie in der Tabelle nach einer POST SAML. Wählen Sie diese Zeile aus und rufen Sie die Registerkarte „Header“ auf.

8. Suchen Sie nach dem Element SAMLResponse, das die kodierte Anforderung enthält. Führen Sie einen Bildlauf nach unten durch, um nach Request Data mit dem Namen SAMLResponse zu suchen. Der zugehörige Wert ist die Base64-kodierte Antwort.

Vorgehensweise bei der Base64-kodierten SAML-Antwort

Wenn Sie das Base64-kodierte SAML-Antwortelement in Ihrem Browser gefunden haben, kopieren Sie es und extrahieren Sie die XML-markierte Antwort mit Ihrem bevorzugten Base64-Decodierungstool.

Sicherheitshinweis

Da die angezeigten SAML-Antwortdaten möglicherweise sensible Sicherheitsdaten enthalten, empfehlen wir Ihnen, keinen Online-Base64-Decoder zu verwenden. Verwenden Sie stattdessen ein auf Ihrem lokalen Computer installiertes Tool, das Ihre SAML-Daten nicht über das Netzwerk sendet.

Integrierte Option für Windows-Systeme (PowerShell):

PS C:\> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("base64encodedtext"))

Integrierte Option für MacOS- und Linux-Systeme:

$ echo "base64encodedtext" | base64 --decode

Überprüfen Sie die Werte in der dekodierten Datei

Überprüfen Sie die Werte in der dekodierten SAML-Antwortdatei.

• Stellen Sie sicher, dass der Wert für das Attribut saml:NameID mit dem Benutzernamen des authentifizierten Benutzers übereinstimmt.

• Überprüfen Sie den Wert für https://aws.amazon.com/SAML/Attributes/Role. Beim ARN- und SAML-Anbieter wird zwischen Groß- und Kleinschreibung unterschieden, und der ARN muss mit der Ressource in Ihrem Konto übereinstimmen.

• Überprüfen Sie den Wert für https://aws.amazon.com/SAML/Attributes/ RoleSession Name. Der Wert muss mit dem Wert in der Anspruchsregel übereinstimmen.

• Wenn Sie den Attributwert für eine E-Mail-Adresse oder einen Kontonamen konfigurieren, stellen Sie sicher, dass die Werte korrekt sind. Die Werte müssen der E-Mail-Adresse oder dem Kontonamen des authentifizierten Benutzers entsprechen.

Suchen Sie nach Fehlern und bestätigen Sie die Konfiguration

Überprüfen Sie, ob die Werte Fehler enthalten, und stellen Sie sicher, dass die folgenden Konfigurationen korrekt sind.

• Die Reklamationsregeln erfüllen die erforderlichen Elemente und alle ARNs sind korrekt. Weitere Informationen finden Sie unter Konfigurieren Sie Ihren SAML 2.0-IdP mit dem Vertrauen der Vertrauensperson und dem Hinzufügen von Ansprüchen.

• Sie haben die neueste Metadatendatei von Ihrem IdP AWS in Ihren SAML-Anbieter hochgeladen. Weitere Informationen finden Sie unter Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console.

• Sie haben die Vertrauensrichtlinie der IAM-Rolle korrekt konfiguriert. Weitere Informationen finden Sie unter Ändern einer Rolle.