配置具有依赖方信任的 SAML 2.0 IdP 并添加陈述

当您创建 IAM 身份提供程序和用于 SAML 访问的角色时，您实际上将告知 AWS 关于外部身份提供程序 (IdP) 的信息以及允许其用户执行的操作。下一步是让 IdP 知道 AWS 作为服务提供商。这称为在 IdP 和 AWS 之间添加依赖方信托。添加信赖方信任的具体步骤取决于您使用的 IdP。有关详细信息，请参阅身份管理软件对应的文档。

许多 IdP 允许指定一个 URL，他们可从中读取包含信赖方信息和证书的 XML 文档。对于 AWS，使用 https://region-code.signin.aws.amazon.com/static/saml-metadata.xml 或 https://signin.aws.amazon.com/static/saml-metadata.xml。有关可能的 region-code 值的列表，请参阅 AWS 登录端点中的 Region（区域）列。

如果您无法直接指定 URL，请从之前的 URL 下载 XML 文档，然后将其导入您的 IdP 软件。

您还需要在指定 AWS 作为信赖方的 IdP 中，创建相应的声明规则。当 IdP 向 AWS 终端节点发送 SAML 响应时，它包括具有一个或多个索赔的 SAML 断言。断言是有关用户及其组的信息。断言规则将该信息映射到 SAML 属性中。这可确保来自 IdP 的 SAML 身份验证响应包含 IAM policy 中 AWS 用于检查联合身份用户权限的必要属性。有关更多信息，请参阅以下主题：

用于允许对 AWS 资源进行 SAML 联合访问的角色的概述本主题将讨论如何在 IAM policy 中使用特定于 SAML 的键以及如何使用它们限制 SAML 联合身份用户的权限。
为身份验证响应配置 SAML 断言。. 本主题将讨论如何配置包括用户相关信息的 SAML 陈述。将声明捆绑到 SAML 断言中并包括在发送到 AWS 的 SAML 响应中。您必须确保 AWS 策略所需的信息以 AWS 可识别和使用的形式包括在 SAML 断言中。
将第三方 SAML 解决方案提供者与 AWS 集成。本主题提供了由第三方组织提供的关于如何与 AWS 集成身份解决方案的文档链接。

注意

为了提高联合身份验证弹性，我们建议您将 IdP 和AWS联合身份验证配置为支持多个 SAML 登录端点。有关详细信息，请参阅 AWS 安全博客文章如何使用区域性 SAML 端点进行失效转移。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

创建 SAML 身份提供者

将第三方 SAML 解决方案提供者与 AWS 集成