Configuração do IdP SAML 2.0 com objeto de confiança de terceira parte confiável e inclusão de declarações - AWS Identity and Access Management

Configuração do IdP SAML 2.0 com objeto de confiança de terceira parte confiável e inclusão de declarações

Quando você cria um provedor de identidade do IAM e a função para acesso SAML, você está informando a AWS sobre o provedor de identidade (IdP) externo e o que seus usuários podem fazer. Em seguida, a sua próxima etapa é informar o IdP sobre a AWS como provedor de serviços. Isso é chamado de adicionar confiança da parte dependente entre seu IdP e a AWS. O processo exato de adicionar a confiança da parte dependente de qual IdP você está usando. Para ver detalhes, consulte a documentação do seu software de gerenciamento de identidade.

Muitos IdPs permitem que você especifique uma URL a partir do qual o IdP lerá um documento XML contendo informações e certificados da parte dependente. Para AWS, use https://region-code.signin.aws.amazon.com/static/saml-metadata.xml ou https://signin.aws.amazon.com/static/saml-metadata.xml. Para obter uma lista de possíveis valores de códigos de região, consulte a coluna Region (Região) nos AWS Sign-In endpoints (Endpoints de login da AWS).

Se você não especificar uma URL diretamente, faça download do documento XML da URL anterior e importe-o para o seu software de IdP.

Você também precisa criar regras de reivindicação apropriadas no seu IdP que especifiquem a AWS como uma parte dependente. Quando o IdP envia uma resposta SAML ao endpoint da AWS, ele inclui uma declaração SAML que contém uma ou mais reivindicações. Reivindicação são informações sobre o usuário e seus grupos. Uma regra de solicitação mapeia essas informações aos atributos SAML. Isso permite que você verifique se as respostas de autenticação SAML do seu IdP contêm os atributos necessários que a AWS usa em políticas do IAM para verificar as permissões para usuários federados. Para obter mais informações, consulte os tópicos a seguir: