Criação de provedores de identidade SAML do IAM - AWS Identity and Access Management

Criação de provedores de identidade SAML do IAM

Um provedor de identidade SAML 2.0 do IAM é uma entidade no IAM que descreve um serviço de provedor de identidade (IdP) externo compatível com o padrão SAML 2.0 (Security Assertion Markup Language 2.0). Você usa um provedor de identidade IAM quando deseja estabelecer confiança entre um IdP compatível com SAML, como Shibboleth ou Serviços de Federação do Active Directory e a AWS, para que os usuários em sua organização possam acessar recursos da AWS. Os provedores de identidade SAML do IAM são usados como entidades de segurança em uma política de confiança do IAM.

Para obter mais informações sobre esse cenário, consulte Sobre a federação baseada em SAML 2.0.

Você pode criar e gerenciar um provedor de identidade do IAM no AWS Management Console ou com a AWS CLI, o Tools for Windows PowerShell ou chamadas de API da AWS.

Depois de criar um provedor SAML, você deve criar uma ou mais funções do IAM. Função é uma identidade na AWS que não tem as próprias credenciais (como um usuário). Porém, neste contexto, uma função é atribuída dinamicamente a um usuário federado que é autenticado pelo IdP da sua organização. A função permite que o IdP de sua organização solicite credenciais de segurança temporárias para acesso à AWS. As políticas atribuídas à função determinam o que os usuários federados podem fazer na AWS. Para criar uma função para a federação do SAML, consulte Criar uma função para um provedor de identidade de terceiros (federação).

Por fim, depois de criar a função, você conclui a confiança de SAML configurando o IdP com informações sobre a AWS e as funções que seus usuários federados deverão usar. Isso é chamado de configurar a confiança da parte dependente entre seu IdP e a AWS. Para configurar a confiança da parte dependente, consulte Configuração do IdP SAML 2.0 com objeto de confiança de terceira parte confiável e inclusão de declarações.

Criação e gerenciamento de um provedor de identidade do IAM (console)

É possível usar o AWS Management Console para criar e excluir provedores de identidade SAML do IAM.

Para criar um provedor de identidade SAMLdo IAM (console)

  1. Antes de criar um provedor de identidade SAML do IAM, você precisa do documento de metadados SAML fornecido pelo IdP. Esse documento inclui o nome do emissor, informações de expiração e chaves que podem ser usadas para validar a resposta de autenticação SAML (declarações) que são recebidas do IdP. Para gerar o documento de metadados, use o software de gerenciamento de identidade que sua organização usa como seu IdP. Para obter instruções sobre como configurar muitos dos IdPs disponíveis para trabalhar com a AWS, incluindo como gerar o documento de metadados SAML necessários, consulte Integrar provedores de soluções SAML de terceiros com a AWS.

    Importante

    Esse arquivo de metadados inclui o nome do emissor, informações de validade e chaves que podem ser usadas para validar a resposta de autenticação do SAML (declarações) que são recebidas do IdP. O arquivo de metadados deve ser codificado no formato UTF-8 sem a marca de ordem de bytes (BOM). Para remover a BOM, você pode codificar o arquivo como UTF-8 usando uma ferramenta de edição de texto, como o Notepad++.

    O certificado x.509 incluído como parte do documento de metadados do SAML deve usar um tamanho de chave de, pelo menos, 1.024 bits. Além disso, o certificado x.509 também deve estar livre de extensões repetidas. É possível usar extensões, mas elas só podem aparecer uma vez no certificado. Se o certificado x.509 não atender a nenhuma das condições, a criação do IdP vai falhar e retornar um erro “Unable to parse metadata” (Não foi possível analisar metadados).

  2. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, escolha Identity providers (Provedores de identidade) e, em seguida Add provider (Adicionar provedor).

  4. Para a opção Configure provider (Configurar provedor), escolha SAML.

  5. Digite um nome para o provedor de identidade.

  6. Em Metadata document (Documento de metadados), clique em Choose file (Escolher arquivo) e especifique o documento de metadados SAML que você obteve por download no Passo 1.

  7. (Opcional) Para adicionar tags, você pode adicionar pares de chave-valor a fim de ajudá-lo a identificar e organizar seus IdPs. Você também pode usar tags para controlar o acesso aos recursos da AWS. Para saber mais sobre a marcação de provedores de identidade SAML, consulte Etiquetamento de provedores de identidade SAML do IAM.

    Escolha Adicionar tag. Insira valores para cada par de chave-valor de tag.

  8. Verifique as informações fornecidas. Quando terminar, escolha Add provider (Adicionar provedor).

  9. Atribua uma função do IAM ao seu provedor de identidade para fornecer identidades de usuário externo gerenciadas pelo seu provedor de identidade, permissões para acessar recursos da AWS em sua conta. Para saber mais sobre como criar funções para a federação de identidades, consulte Criar uma função para um provedor de identidade de terceiros (federação).

Para excluir um provedor SAML (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Identity providers (Provedores de identidade).

  3. Marque a caixa de seleção ao lado do provedor de identidade que você deseja excluir.

  4. Escolha Delete (Excluir). Uma nova janela é aberta.

  5. Confirme se deseja excluir o provedor digitando a palavra delete no campo. Em seguida, selecione Delete (Excluir).

Criação e gerenciamento de um provedor de identidade SAML do IAM (AWS CLI)

Você pode usar a AWS CLI para criar e gerenciar provedores SAML.

Antes de criar um provedor de identidade do IAM, você precisa do documento de metadados SAML fornecido pelo IdP. Esse documento inclui o nome do emissor, informações de expiração e chaves que podem ser usadas para validar a resposta de autenticação SAML (declarações) que são recebidas do IdP. Para gerar o documento de metadados, use o software de gerenciamento de identidade que sua organização usa como seu IdP. Para obter instruções sobre como configurar muitos dos IdPs disponíveis para trabalhar com a AWS, incluindo como gerar o documento de metadados SAML necessários, consulte Integrar provedores de soluções SAML de terceiros com a AWS.

Importante

Esse arquivo de metadados inclui o nome do emissor, informações de validade e chaves que podem ser usadas para validar a resposta de autenticação do SAML (declarações) que são recebidas do IdP. O arquivo de metadados deve ser codificado no formato UTF-8 sem a marca de ordem de bytes (BOM). Para remover a BOM, você pode codificar o arquivo como UTF-8 usando uma ferramenta de edição de texto, como o Notepad++.

O certificado x.509 incluído como parte do documento de metadados do SAML deve usar um tamanho de chave de, pelo menos, 1.024 bits. Além disso, o certificado x.509 também deve estar livre de extensões repetidas. É possível usar extensões, mas elas só podem aparecer uma vez no certificado. Se o certificado x.509 não atender a nenhuma das condições, a criação do IdP vai falhar e retornar um erro “Unable to parse metadata” (Não foi possível analisar metadados).

Para criar um provedor de identidade do IAM e carregar um documento de metadados (AWS CLI)

Para carregar um novo documento de metadados para um provedor de identidade do IAM (AWS CLI)

Para etiquetar um provedor de identidade do IAM existente (AWS CLI)

Para listar etiquetas para o provedor de identidade do IAM existente (AWS CLI)

Para remover etiquetas de um provedor de identidade do IAM existente (AWS CLI)

Para etiquetar um provedor de identidade do IAM existente (AWS CLI)

Para listar etiquetas para o provedor de identidade do IAM existente (AWS CLI)

Para remover etiquetas de um provedor de identidade do IAM existente (AWS CLI)

Para excluir um provedor de identidade SAML do IAM (AWS CLI)

  1. (Opcional) Para listar informações para todos os provedores, como o ARN, data de criação e expiração, execute o seguinte comando:

  2. (Opcional) Para obter informações sobre um provedor específico, como o ARN, data de criação e expiração, execute o seguinte comando:

  3. Para excluir um provedor de identidade do IAM, execute o seguinte comando:

Criação e gerenciamento de um provedor de identidade SAML do IAM (API do AWS)

Você pode usar a API da AWS para criar e gerenciar provedores SAML.

Antes de criar um provedor de identidade do IAM, você precisa do documento de metadados SAML fornecido pelo IdP. Esse documento inclui o nome do emissor, informações de expiração e chaves que podem ser usadas para validar a resposta de autenticação SAML (declarações) que são recebidas do IdP. Para gerar o documento de metadados, use o software de gerenciamento de identidade que sua organização usa como seu IdP. Para obter instruções sobre como configurar muitos dos IdPs disponíveis para trabalhar com a AWS, incluindo como gerar o documento de metadados SAML necessários, consulte Integrar provedores de soluções SAML de terceiros com a AWS.

Importante

O arquivo de metadados deve ser codificado no formato UTF-8 sem a marca de ordem de bytes (BOM). Além disso, o certificado x.509 que é incluído como parte do documento de metadados SAML deve usar um tamanho de chave de, pelo menos, 1.024 bits. Se o tamanho da chave for menor, ocorrerá uma falha na criação de IdP com o erro "Não foi possível analisar os metadados". Para remover a BOM, você pode codificar o arquivo como UTF-8 usando uma ferramenta de edição de texto, como o Notepad++.

Para criar um provedor de identidadedo IAM e carregar um documento de metadados (API da AWS)

Para carregar um novo documento de metadados para um provedor de identidade do IAM (API da AWS)

Para etiquetar um provedor de identidade existente do IAM (API da AWS)

Para listar etiquetas para um provedor de identidade do IAM existente (API da AWS)

Para remover etiquetas em um provedor de identidade existente do IAM (API da AWS)

Para etiquetar um provedor de identidade existente do IAM (API da AWS)

Para listar etiquetas para um provedor de identidade do IAM existente (API da AWS)

Para remover etiquetas em um provedor de identidade existente do IAM (API da AWS)

Para excluir um provedor de identidade do IAM (API da AWS)

  1. (Opcional) Para listar informações para todos os IdPs, como o ARN, data de criação e expiração, chame a seguinte operação:

  2. (Opcional) Para obter informações sobre um provedor específico, como o ARN, data de criação e expiração, chame a seguinte operação:

  3. Para excluir um IdP, chame a seguinte operação: