Configurar o IdP SAML 2.0 com objeto de confiança de terceira parte confiável e adição de declarações
Quando você cria um provedor de identidade do IAM e a função para acesso SAML, você está informando a AWS sobre o provedor de identidade (IdP) externo e o que seus usuários podem fazer. Em seguida, a sua próxima etapa é informar o IdP sobre a AWS como provedor de serviços. Isso é chamado de adicionar confiança da parte dependente entre seu IdP e a AWS. O processo exato de adicionar a confiança da parte dependente de qual IdP você está usando. Para ver detalhes, consulte a documentação do seu software de gerenciamento de identidade.
Muitos IdPs permitem que você especifique uma URL a partir do qual o IdP lerá um documento XML contendo informações e certificados da parte dependente. Para AWS, use https://
ou region-code
.signin.aws.amazon.com/static/saml-metadata.xmlhttps://signin.aws.amazon.com/static/saml-metadata.xml
. Para obter uma lista dos possíveis valores de region-code
, consulte a coluna Região em Endpoints de login da AWS.
Se você não especificar uma URL diretamente, faça download do documento XML da URL anterior e importe-o para o seu software de IdP.
Você também precisa criar regras de reivindicação apropriadas no seu IdP que especifiquem a AWS como uma parte dependente. Quando o IdP envia uma resposta SAML ao endpoint da AWS, ele inclui uma declaração SAML que contém uma ou mais reivindicações. Reivindicação são informações sobre o usuário e seus grupos. Uma regra de solicitação mapeia essas informações aos atributos SAML. Isso permite que você verifique se as respostas de autenticação SAML do seu IdP contêm os atributos necessários que a AWS usa em políticas do IAM para verificar as permissões para usuários federados. Para obter mais informações, consulte os tópicos a seguir.
-
Visão geral da função para permitir acesso federado do SAML aos seus recursos da AWS. Este tópico discute o uso de chaves específicas do SAML em políticas do IAM e como usá-las para restringir permissões para usuários federados SAML.
-
Configurar declarações SAML para a resposta de autenticação. Este tópico discute como configurar declarações SAML que incluem informações sobre o usuário. As solicitações são fornecidas em uma declaração SAML e incluídas na resposta SAML que é enviada à AWS. Você deve garantir que as informações necessárias às políticas da AWS sejam incluídas na declaração SAML em um formato que a AWS possa reconhecer e usar.
-
Integrar provedores de soluções SAML de terceiros com a AWS. Este tópico fornece links para a documentação fornecida por outras organizações sobre como integrar soluções de identidade com a AWS.
nota
Para melhorar a resiliência da federação, recomendamos que você configure seu IdP e sua federação da AWS para oferecer suporte a vários endpoints de login do SAML. Para obter detalhes, consulte o artigo do AWS Security Blog How to use regional SAML endpoints for failover