SAML 2.0 통합 문제 해결 AWS - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

SAML 2.0 통합 문제 해결 AWS

이 문서의 정보를 사용하여 IAM 연동 및 SAML 2.0 작업 시 발생할 수 있는 문제를 진단하고 해결할 수 있습니다.

오류 요청에 잘못된 SAML 응답이 포함되어 있습니다. 로그아웃하려면 여기를 클릭하십시오.

이 오류는 ID 공급자의 SAML 응답이 Name 다음으로 설정 https://aws.amazon.com/SAML/Attributes/Role. 특성에는 하나 이상의 AttributeValue 각각 쉼표로 구분된 문자열 쌍을 포함하는 요소:

  • 사용자를 매핑할 수 있는 역할의 ARN

  • SAML 공급자의 ARN

자세한 정보는 인증 응답을 위한 SAML 어설션 구성 단원을 참조하십시오. 브라우저에서 SAML 응답을 보려면 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법의 단계를 따르십시오.

오류 AuthnResponse에서 역할 세션 이름은 필수입니다(서비스: AWSSecurityTokenService; 상태 코드: 400; 오류 코드: InvalidIdentityToken)

이 오류는 ID 공급자의 SAML 응답이 Name 다음으로 설정 https://aws.amazon.com/SAML/Attributes/RoleSessionName. 특성 값은 사용자의 식별자이며 일반적으로 사용자 ID 또는 전자 메일 주소입니다.

자세한 정보는 인증 응답을 위한 SAML 어설션 구성 단원을 참조하십시오. 브라우저에서 SAML 응답을 보려면 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법의 단계를 따르십시오.

오류 작업 수행 권한이 없음:SAML이 있는 Role 가정(서비스: AWSSecurityTokenService; 상태 코드: 403; 오류 코드: AccessDenied)

이 오류는 SAML 응답에 지정된 IAM 역할이 잘못 기재되었거나 존재하지 않는 경우 발생할 수 있습니다. 역할 이름은 대소문자를 구분하므로 역할 이름을 정확하게 사용하십시오. SAML 서비스 공급자 구성의 역할 이름을 올바르게 수정하십시오.

역할 신뢰 정책에 sts:AssumeRoleWithSAML 작업이 포함된 경우에만 액세스가 허용됩니다. PrincipalTag 속성을 사용하도록 SAML 어설션이 구성된 경우 신뢰 정책에도 sts:TagSession 작업이 포함되어야 합니다. 세션 태그에 대한 자세한 내용은 세션 태그 전달 AWS STS 단원을 참조하십시오.

이 오류는 연동 사용자가 역할을 수임할 권한이 없는 경우에도 발생할 수 있습니다. 역할에는 의 ARN을 지정하는 신뢰 정책이 있어야 합니다. IAM SAML ID 공급자를 Principal. 역할에는 역할을 맡을 수 있는 사용자를 제어하는 조건도 포함되어 있습니다. 사용자는 조건의 요구 사항을 준수해야 합니다.

이 오류는 SAML 응답에 Subject가 포함된 NameID가 없는 경우에도 발생할 수 있습니다.

자세한 내용은 Establish Permissions in AWS for Federated Users인증 응답을 위한 SAML 어설션 구성 단원을 참조하십시오. 브라우저에서 SAML 응답을 보려면 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법의 단계를 따르십시오.

오류 승인의 역할 세션 이름이 일치해야 합니다.[a-zA-Z_0-9+=,.@-]{2,64} (서비스: AWSSecurityTokenService; 상태 코드: 400; 오류 코드: InvalidIdentityToken)

이 오류는 RoleSessionName 속성 값이 너무 길거나 유효하지 않은 문자가 포함된 경우 발생할 수 있습니다. 유효한 최대 길이는 64자입니다.

자세한 정보는 인증 응답을 위한 SAML 어설션 구성 단원을 참조하십시오. 브라우저에서 SAML 응답을 보려면 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법의 단계를 따르십시오.

오류 응답 서명이 유효하지 않음(서비스: AWSSecurityTokenService; 상태 코드: 400; 오류 코드: InvalidIdentityToken)

이 오류는 자격 증명 공급자의 연동 메타데이터가 IAM 자격 증명 공급자의 메타데이터와 일치하지 않는 경우 발생할 수 있습니다. 예를 들어, 만료된 인증서를 업데이트하기 위해 자격 증명 서비스 공급자의 메타데이터 파일이 변경되었을 수 있습니다. 이 경우, 자격 증명 서비스 공급자의 업데이트된 SAML 메타데이터 파일을 다운로드합니다. 그런 다음 aws iam update-saml-provider 크로스플랫폼 CLI 명령 또는 Update-IAMSAMLProvider PowerShell cmdlet을 통해 IAM에서 정의한 AWS 자격 증명 공급자 엔터티에 이를 업데이트합니다.

오류 역할을 위임하지 못함 발급자가 지정된 공급자에 없음(서비스: AWSOpenIdDiscoveryService; 상태 코드: 400; 오류 코드: AuthSamlInvalidSamlResponseException)

이 오류는 업로드한 연동 메타데이터 파일에 선언되어 있는 발행자와 SAML 응답의 발행자가 일치하지 않는 경우 발생할 수 있습니다. 메타데이터 파일은 IAM에서 자격 증명 공급자를 생성할 떄 AWS에 업로드되었습니다.

오류 메타데이터를 구문 분석할 수 없음

이 오류는 메타데이터 파일이 적절한 형식이 아닌 경우에 발생할 수 있습니다.

AWS Management 콘솔에서 SAML 자격 증명 공급자를 생성하거나 관리할 때, 사용자의 자격 증명 공급자에서 SAML 메타데이터 문서를 가져와야 합니다. 이 메타데이터 파일에는 발급자 이름, 만료 정보 및 IdP에서 가져온 SAML 인증 응답(어설션)을 확인하는 데 사용할 수 있는 키가 포함되어 있습니다. 메타데이터 파일은 바이트 순서 표시(BOM)가 없는 UTF-8 형식으로 인코딩되어야 합니다. 또한 SAML 메타데이터 문서의 일부로 포함된 x.509 인증서는 1,024비트 이상의 키를 사용해야 합니다. 키 크기가 이보다 작으면 "메타데이터를 구문 분석할 수 없음" 오류로 인해 IdP 생성에 실패합니다. BOM을 제거하려면 Notepad++와 같은 텍스트 편집 도구를 사용해 파일을 UTF-8로 인코딩합니다.

오류 지정된 공급자가 존재하지 않습니다.

이 오류는 SAML 어설션에서 지정한 공급자의 이름이 IAM에 구성된 공급자의 이름과 일치하지 않는 경우 발생할 수 있습니다. 공급자 이름 보기에 대한 자세한 내용은 만들기 IAM SAML ID 공급자 단원을 참조하십시오.

오류 요청된 기간초가 이 역할 에 대해 설정된 최대 세션 시간을 초과합니다.

이 오류는 AWS CLI 또는 API에서 역할을 위임한 경우 발생할 수 있습니다.

assume-role-with-saml CLI 또는 AssumeRoleWithSAML API 작업을 사용하여 역할을 위임하는 경우 DurationSeconds 파라미터의 값을 지정할 수 있습니다. 이 값의 범위는 900초(15분)에서 해당 역할에 대한 최대 세션 기간 설정까지 지정할 수 있습니다. 이 설정보다 높게 값을 지정하면 작업에 실패합니다. 예를 들어 세션 기간으로 12시간을 지정했는데 관리자가 최대 세션 기간으로 6시간을 설정하면 작업에 실패합니다. 역할에 대한 최댓값을 확인하는 방법을 알아보려면 역할에 대한 최대 세션 기간 설정 보기 단원을 참조하십시오.