Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Quando crei un provider di identità IAM e un ruolo per l'accesso SAML, indichi ad AWS il provider di identità (IdP) esterno e le operazioni che i rispettivi utenti sono autorizzati a effettuare. Il passaggio successivo consiste nell'informare l'IdP in AWS qualità di fornitore di servizi. Questa relazione è nota come relazione di trust tra il provider di identità e AWS. L'esatto processo per aggiungere una relazione di trust dipende dall'IdP utilizzato. Per ulteriori informazioni, consulta la documentazione relativa al tuo software di gestione delle identità.
Molti IdPs consentono di specificare un URL da cui l'IdP può leggere un documento XML contenente informazioni e certificati del relying party. Per AWS, utilizza l'URL dell'endpoint di accesso. L'esempio seguente mostra il formato dell'URL con l'opzione. region-code
https://region-code.signin.aws.amazon.com/static/saml-metadata.xml
Se è richiesta la crittografia SAML, l'URL deve includere l'identificatore univoco AWS assegnato al provider SAML, che puoi trovare nella pagina dei dettagli del provider di identità. L'esempio seguente mostra un URL di accesso regionale che include un identificatore univoco.
https://region-code.signin.aws.amazon.com/static/saml/IdP-ID/saml-metadata.xml
Per un elenco dei region-code valori possibili, consulta la colonna Regione negli endpoint di AWS accesso. Per il AWS valore, puoi anche utilizzare l'endpoint non regionale. https://signin.aws.amazon.com/saml
Se non è possibile specificare direttamente un URL, scaricare il documento XML dall'URL precedente e importarlo nel software dell'IdP.
Inoltre, devi creare regole di reclamo appropriate nel tuo IdP che specifichino AWS come parte affidataria. Quando l'IdP invia una risposta SAML all' AWS endpoint, include un'asserzione SAML che contiene una o più attestazioni. Un'attestazione consiste in un set di informazioni sull'utente e sui rispettivi gruppi. Una regola di attestazione mappa tali informazioni negli attributi SAML. Ciò ti consente di assicurarti che le risposte di autenticazione SAML del tuo IdP contengano gli attributi AWS necessari utilizzati nelle policy IAM per verificare le autorizzazioni per gli utenti federati. Per ulteriori informazioni, consulta i seguenti argomenti:
-
Panoramica del ruolo per consentire l'accesso federato SAML alle tue risorse AWS. In questo argomento viene descritto l'uso di chiavi specifiche SAML nelle policy IAM e le modalità di utilizzo per limitare le autorizzazioni per gli utenti federati SAML.
-
Configurare le asserzioni SAML per la risposta di autenticazione. In questo argomento viene descritto come configurare le attestazioni SAML che includono informazioni sull'utente. Le attestazioni sono raggruppate in un'asserzione SAML e incluse nella risposta SAML inviata ad AWS. Devi assicurarti che le informazioni necessarie alle AWS policy siano incluse nell'asserzione SAML in un formato riconoscibile e utilizzabile. AWS
-
Integra fornitori di soluzioni SAML di terze parti con AWS. Questo argomento fornisce collegamenti alla documentazione fornita da organizzazioni di terze parti su come integrare soluzioni di identità con AWS.
Nota
Per migliorare la resilienza della federazione, ti consigliamo di configurare l'IdP e la federazione AWS
per supportare più endpoint di accesso SAML. Per i dettagli, consulta l'articolo del AWS Security Blog Come utilizzare gli endpoint SAML regionali per
