Configurar o IdP SAML 2.0 com objeto de confiança de terceira parte confiável e adição de declarações - AWS Identity and Access Management

Configurar o IdP SAML 2.0 com objeto de confiança de terceira parte confiável e adição de declarações

Quando você cria um provedor de identidade do IAM e a função para acesso SAML, você está informando a AWS sobre o provedor de identidade (IdP) externo e o que seus usuários podem fazer. Em seguida, a sua próxima etapa é informar o IdP sobre a AWS como provedor de serviços. Isso é chamado de adicionar confiança da parte dependente entre seu IdP e a AWS. O processo exato de adicionar a confiança da parte dependente de qual IdP você está usando. Para ver detalhes, consulte a documentação do seu software de gerenciamento de identidade.

Muitos IdPs permitem que você especifique uma URL a partir do qual o IdP lerá um documento XML contendo informações e certificados da parte dependente. Para AWS, use https://region-code.signin.aws.amazon.com/static/saml-metadata.xml ou https://signin.aws.amazon.com/static/saml-metadata.xml. Para obter uma lista dos possíveis valores de region-code, consulte a coluna Região em Endpoints de login da AWS.

Se você não especificar uma URL diretamente, faça download do documento XML da URL anterior e importe-o para o seu software de IdP.

Você também precisa criar regras de reivindicação apropriadas no seu IdP que especifiquem a AWS como uma parte dependente. Quando o IdP envia uma resposta SAML ao endpoint da AWS, ele inclui uma declaração SAML que contém uma ou mais reivindicações. Reivindicação são informações sobre o usuário e seus grupos. Uma regra de solicitação mapeia essas informações aos atributos SAML. Isso permite que você verifique se as respostas de autenticação SAML do seu IdP contêm os atributos necessários que a AWS usa em políticas do IAM para verificar as permissões para usuários federados. Para obter mais informações, consulte os tópicos a seguir.

nota

Para melhorar a resiliência da federação, recomendamos que você configure seu IdP e sua  federação da AWS para oferecer suporte a vários endpoints de login do SAML. Para obter detalhes, consulte o artigo do AWS Security Blog How to use regional SAML endpoints for failover.