Risoluzione dei problemi di federazione SAML 2.0 con AWS - AWS Identity and Access Management
Risposta SAML non validaRoleSessionName è obbligatorioNon autorizzato per SAML AssumeRoleWithCaratteri non validi RoleSessionName Caratteri identità di origine non validiRisposta di firma non validaImpossibile assumere il ruolo.Impossibile analizzare i metadatiIl provider specificato non esisteDurationSeconds supera MaxSessionDurationLa risposta non contiene il pubblico richiesto

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di federazione SAML 2.0 con AWS

Utilizza le informazioni contenute qui per eseguire la diagnosi e risolvere i problemi che puoi incontrare durante l'utilizzo di SAML 2.0 e la federazione con IAM.

Argomenti

Errore: La tua richiesta include una risposta SAML non valida. Per disconnetterti, fai clic qui.

Questo errore può accadere quando la risposta SAML dall'identità del fornitore non include un attributo con Name impostato su https://aws.amazon.com/SAML/Attributes/Role L'attributo deve contenere uno o più elementi AttributeValue, ognuno contenente un paio di stringhe separate dalla virgola:

  • L'ARN di un ruolo su cui l'utente può essere mappato

  • L'ARN del fornitore SAML

Per ulteriori informazioni, consulta Configurare le asserzioni SAML per la risposta di autenticazione. Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi.

Errore: RoleSessionName è richiesto in AuthnResponse (servizio: AWSSecurityTokenService; codice di stato: 400; codice di errore: InvalidIdentityToken)

Questo errore può accadere quando la risposta SAML dall'identità del fornitore non include un attributo con Name impostato su https://aws.amazon.com/SAML/Attributes/RoleSessionName Il valore dell'attributo è un identificatore per l'utente e in genere è un ID utente o un indirizzo e-mail.

Per ulteriori informazioni, consulta Configurare le asserzioni SAML per la risposta di autenticazione. Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi.

Errore: non autorizzato a eseguire sts: AssumeRole withSAML (service: AWSSecurityTokenService; codice di stato: 403; codice di errore:) AccessDenied

Questo errore può verificarsi se il ruolo IAM specificato nella risposta SAML è errato o non esiste. Assicurati di utilizzare il nome esatto del ruolo in quanto i nomi prevedono una distinzione tra lettere maiuscole e minuscole. Correggere il nome del ruolo nella configurazione del provider di servizi SAML.

L'accesso è consentito solo se il criterio di attendibilità del ruolo include l'azione sts:AssumeRoleWithSAML. Se l'asserzione SAML è configurata per utilizzare l'attributo PrincipalTag, i criteri di attendibilità devono includere anche l'azione sts:TagSession. Per ulteriori informazioni sui tag di sessione, consultare Passare i tag di sessione AWS STS.

Questo errore può verificarsi se non disponi delle autorizzazioni sts:SetSourceIdentity nella policy di attendibilità del ruolo. Se l'asserzione SAML è configurata per utilizzare l'attributo SourceIdentity, le policy di attendibilità devono includere anche l'azione sts:SetSourceIdentity. Per ulteriori informazioni sull'identità di origine, consulta Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti.

Questo errore può verificarsi se gli utenti federati non hanno le autorizzazioni per assumere quel ruolo. Il ruolo deve avere una policy di affidabilità che specifica l'ARN del provider d'identità SAML IAM come il Principal. Il ruolo contiene anche le condizioni che controllano quali utenti possono assumere il ruolo. Verifica che gli utenti soddisfino i requisiti delle condizioni.

Questo errore può verificarsi anche se la risposta SAML non include un Subject contenente un NameID.

Per ulteriori informazioni, consulta Come stabilire le autorizzazioni in AWS per gli utenti federati e Configurare le asserzioni SAML per la risposta di autenticazione. Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi.

Errore: RoleSessionName in AuthnResponse deve corrispondere a [a-zA-Z_0-9+=, .@-] {2,64} (service:; codice di stato: 400; codice di errore:) AWSSecurityTokenService InvalidIdentityToken

Questo errore può verificarsi se il valore dell'attributo RoleSessionName è troppo lungo o contiene caratteri non validi. La lunghezza massima valida è 64 caratteri;

Per ulteriori informazioni, consulta Configurare le asserzioni SAML per la risposta di autenticazione. Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi.

Errore: l'identità di origine deve corrispondere a [a-zA-Z_0-9+=, .@-] {2,64} e non iniziare con "aws:" (service:; codice di stato: 400; codice di errore:) AWSSecurityTokenService InvalidIdentityToken

Questo errore può verificarsi se il valore dell'attributo sourceIdentity è troppo lungo o contiene caratteri non validi. La lunghezza massima valida è 64 caratteri; Per ulteriori informazioni sull'identità di origine, consulta Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti.

Per ulteriori informazioni sulla creazione di asserzioni SAML, consulta Configurare le asserzioni SAML per la risposta di autenticazione. Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in Come visualizzare una risposta SAML nel browser per la risoluzione dei problemi.

Errore: firma di risposta non valida (servizio:; codice di stato: 400; codice di errore:) AWSSecurityTokenService InvalidIdentityToken

Questo errore può verificarsi quando i metadati di federazione del provider di identità non soddisfano i metadati del provider di identità IAM. Ad esempio, il file dei metadati per il provider del servizio di identità potrebbe essere cambiato per aggiornare un certificato scaduto. Scaricare il file di metadati SAML aggiornato dal fornitore del servizio di identità. Quindi aggiornalo nell'entità del provider di AWS identità che definisci in IAM con il comando CLI aws iam update-saml-provider multipiattaforma o Update-IAMSAMLProvider PowerShell il cmdlet.

Errore: impossibile assumere il ruolo: Emittente non presente nel provider specificato (servizio:; codice di stato: 400; codice di errore: AWSOpenIdDiscoveryService) AuthSamlInvalidSamlResponseException

Questo errore può verificarsi se l'approvatore nella risposta SAML non corrisponde all'approvatore dichiarato nel file dei metadati di federazione Il file di metadati è stato caricato su AWS quando hai creato il provider di identità in IAM.

Errore: Impossibile analizzare i metadati.

Questo errore può verificarsi se il file dei metadati non è formattato correttamente.

Quando crei o gestisci un provider di identità SAML in AWS Management Console, devi recuperare il documento di metadati SAML dal tuo provider di identità.

Questo file di metadati include il nome dell'approvatore, le informazioni sulla scadenza e le chiavi che possono essere utilizzate per convalidare la risposta di autenticazione SAML (asserzioni) ricevute dal provider di identità. Il file di metadati deve essere codificati in formato UTF-8, senza BOM (Byte Order Mark). Per rimuovere il BOM, codifica i file come UTF-8 utilizzando un editor di testi come ad esempio Notepad++.

Il certificato x.509 incluso come parte del documento di metadati SAML deve utilizzare una chiave di almeno 1024 bit. Inoltre, il certificato x.509 deve essere privo di eventuali estensioni ripetute. È possibile utilizzare le estensioni, ma possono essere visualizzate una sola volta nel certificato. Se il certificato x.509 non soddisfa nessuna delle due condizioni, la creazione dell'IdP ha esito negativo e restituisce l'errore "Unable to parse metadata".

Come definito dal profilo di interoperabilità dei metadati SAML V2.0 versione 1.0, IAM non valuta né interviene in merito alla scadenza del certificato X.509 del documento di metadati.

Errore: Il provider specificato non esiste.

Questo errore può verificarsi se il nome del provider specificato nell'asserzione SAML non corrisponde al nome del provider configurato in IAM. Per ulteriori informazioni sulla visualizzazione del nome del provider, consulta Crea un provider di identità SAML in IAM.

Errore: la richiesta DurationSeconds supera quella MaxSessionDuration impostata per questo ruolo.

Questo errore può verificarsi se assumi un ruolo dall'API AWS CLI o.

Quando utilizzi le operazioni dell'interfaccia della riga di comando assume-role-with-saml AssumeRole o dell'API WithSAML per assumere un ruolo, puoi specificare un valore per il parametro. DurationSeconds Puoi specificare un valore da 900 secondi (15 minuti) fino alla durata massima impostata per la sessione per il ruolo. Se si specifica un valore superiore a questa impostazione, l'operazione ha esito negativo. Ad esempio, se si specifica una durata di sessione di 12 ore, ma l'amministratore ha impostato la durata massima di sessione a 6 ore, l'operazione ha esito negativo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Visualizzazione dell'impostazione di durata massima della sessione per un ruolo.

Errore: la risposta non contiene il pubblico richiesto.

Questo errore può verificarsi in caso di mancata corrispondenza tra l'URL del pubblico e il provider di identità nella configurazione SAML. Assicurati che l'identificativo del soggetto che si basa sul gestore dell'identità digitale corrisponda esattamente all'URL del pubblico (ID entità) fornito nella configurazione SAML.