建立 IAM SAML 身分提供者 - AWS Identity and Access Management

建立 IAM SAML 身分提供者

IAM SAML 2.0 身分提供者是 IAM 中的實體,其負責描述支援 SAML 2.0 (安全性聲明標記語言 2.0) 標準的外部身分提供者 (IdP) 服務。當您想要在 SAML 相容的 IdP (例如 Shibboleth 或 Active Directory Federation Services 和 AWS) 之間建立信任時,您使用 IAM SAML 身分提供者,讓您組織中的使用者可以存取 AWS 資源。在 IAM 信任政策中,IAM SAML 身分提供者將作為委託人。

如需有關此案例的詳細資訊,請參閱 關於以 SAML 2.0 為基礎的聯合身分

您可以在 AWS Management Console 中或是透過 AWS CLI、Tools for Windows PowerShell 或 AWS API 呼叫,建立和管理 IAM 身分提供者。

在您建立 SAML 提供者之後,您必須建立一個或多個 IAM 角色。角色是 AWS 中的一個身分,並不擁有自己的憑證 (如同做為使用者)。但在此情況中,角色是以動態指派給聯合身分使用者,而該使用者由您組織的身分提供者 (IdP) 進行驗證。角色可允許您組織的 IdP 請求暫時性安全憑證以存取 AWS。指派給角色的政策決定可在 AWS 中執行的聯合身分使用者。若要為 SAML 聯合身分建立角色,請參閱 針對第三方身分提供者建立角色 (聯合身分)

最後,在您建立角色之後,您透過 AWS 的相關資訊和供聯合身分使用者使用的角色設定您的 IdP,來完成 SAML 信任。這是指在您的 IdP 和 AWS 之間設定依賴方信任。若要設定依賴方信任,請參閱使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告

建立及管理 IAM 身分提供者 (主控台)

您可以使用 AWS Management Console 來建立及刪除 IAM SAML 身分提供者。

建立 IAM SAML 身分提供者 (主控台)

  1. 建立 IAM SAML 身分提供者之前,您需要從 IdP 取得的 SAML 中繼資料文件。此文件包括發行者的名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的索引鍵。若要產生中繼資料文件,請使用您組織做為其 IdP 使用的身分管理軟體。如需如何設定許多可與 AWS 搭配使用的 IdP 的說明 (包含如何產生所需的 SAML 中繼資料文件),請參閱第三方 SAML 解決方案提供者與 AWS 進行整合

    重要

    此中繼資料檔案包括發行者名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的金鑰。中繼資料檔案必須以 UTF-8 格式編碼,並且不含位元組順序記號 (BOM)。若要移除 BOM,您可以使用文字編輯工具,例如 Notepad++,將檔案編碼為 UTF-8。

    包含在 SAML 中繼資料文件中的 x.509 憑證必須使用大小至少有 1024 位元的金鑰。此外,x.509 憑證也必須沒有任何重複的擴充。您可以使用擴充,但這些擴充只能在憑證中出現一次。如果 x.509 憑證不符合任一條件,IdP 建立會失敗,並傳回「無法剖析中繼資料」錯誤。

  2. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  3. 在導覽窗格中,請選擇 Identity providers (身分提供者),然後選擇 Add provider (新增提供者)。

  4. Configure provider (設定提供者) 中,選擇 SAML

  5. 輸入身分提供者的名稱。

  6. 對於 Metadata document (中繼資料文件),選擇 Choose file (選擇檔案),並指定您在 步驟 1 下載的 SAML 中繼資料文件。

  7. (選用) 對於 Add tags (新增標籤),您可以新增鍵值組,以協助您識別和整理 IdP。您也可以使用標籤來控制對 AWS 資源的存取。若要進一步了解如何標記 SAML 身分提供者,請參閱標記 IAM SAML 身分提供者

    選擇 Add tag (新增標籤)。輸入每個標籤鍵值組的值。

  8. 請確認您提供的資訊。完成後,請選擇 Add provider (新增提供者)。

  9. 將 IAM 角色指派給您的身分提供者,以為受管于身分提供者的外部使用者身分提供許可,便於存取帳戶中的 AWS 資源。若要進一步了解如何建立聯合身分角色,請參閱 針對第三方身分提供者建立角色 (聯合身分)

刪除 SAML 提供者 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,請選擇 Identity providers (身分提供者)。

  3. 在您要刪除的身分提供者旁邊,選取選項按鈕。

  4. 選擇 Delete (刪除)。新的視窗將開啟。

  5. 在欄位中輸入單字 delete,確認您要刪除提供者。再選擇 Delete (刪除)。

建立及管理 IAM SAML 身分提供者 (AWS CLI)

您可以使用 AWS CLI 來建立和管理 SAML 身分提供者。

建立 IAM 身分提供者之前,您需要從 IdP 取得的 SAML 中繼資料文件。此文件包括發行者的名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的索引鍵。若要產生中繼資料文件,請使用您組織做為其 IdP 使用的身分管理軟體。如需如何設定許多可與 AWS 搭配使用的 IdP 的說明 (包含如何產生所需的 SAML 中繼資料文件),請參閱第三方 SAML 解決方案提供者與 AWS 進行整合

重要

此中繼資料檔案包括發行者名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的金鑰。中繼資料檔案必須以 UTF-8 格式編碼,並且不含位元組順序記號 (BOM)。若要移除 BOM,您可以使用文字編輯工具,例如 Notepad++,將檔案編碼為 UTF-8。

包含在 SAML 中繼資料文件中的 x.509 憑證必須使用大小至少有 1024 位元的金鑰。此外,x.509 憑證也必須沒有任何重複的擴充。您可以使用擴充,但這些擴充只能在憑證中出現一次。如果 x.509 憑證不符合任一條件,IdP 建立會失敗,並傳回「無法剖析中繼資料」錯誤。

建立身分提供者並上傳中繼資料文件 (AWS CLI)

為 IAM 身分提供者上傳新的中繼資料文件 (AWS CLI)

標記現有 IAM 身分提供者 (AWS CLI)

列出現有 IAM 身分提供者的標籤 (AWS CLI)

移除現有 IAM 身分提供者的標籤 (AWS CLI)

標記現有 IAM 身分提供者 (AWS CLI)

列出現有 IAM 身分提供者的標籤 (AWS CLI)

移除現有 IAM 身分提供者的標籤 (AWS CLI)

刪除 IAM SAML 身分提供者 (AWS CLI)

  1. (選用) 若要列出所有提供者的資訊,例如 ARN、建立日期和過期日期,請執行下列命令:

  2. (選用) 若要取得特定提供者的相關資訊,例如 ARN、建立日期和過期,請執行下列命令:

  3. 若要刪除 IAM 身分提供者,請執行下列命令:

建立及管理 IAM SAML 身分提供者 (AWS API)

您可以使用 AWS API 來建立和管理 SAML 身分提供者。

建立 IAM 身分提供者之前,您需要從 IdP 取得的 SAML 中繼資料文件。此文件包括發行者的名稱、過期資訊以及可用於驗證從 IdP 接收的 SAML 身分驗證回應 (聲明) 的索引鍵。若要產生中繼資料文件,請使用您組織做為其 IdP 使用的身分管理軟體。如需如何設定許多可與 AWS 搭配使用的 IdP 的說明 (包含如何產生所需的 SAML 中繼資料文件),請參閱第三方 SAML 解決方案提供者與 AWS 進行整合

重要

中繼資料檔案必須以 UTF-8 格式編碼,並且不含位元組順序記號 (BOM)。此外,包含在 SAML 中繼資料文件中的 X.509 憑證,必須使用大小至少有 1024 位元的索引鍵。如果索引鍵大小比較小,IdP 建立會失敗並出現「無法剖析中繼資料」的錯誤。若要移除 BOM,您可以使用文字編輯工具,例如 Notepad++,將檔案編碼為 UTF-8。

若要建立 IAM 身分提供者並上傳中繼資料文件 (AWS API)

為 IAM 身分提供者上傳新的中繼資料文件 (AWS API)

標記現有 IAM 身分提供者 (AWS API)

列出現有 IAM 身分提供者的標籤 (AWS API)

移除現有 IAM 身分提供者的標籤 (AWS API)

標記現有 IAM 身分提供者 (AWS API)

列出現有 IAM 身分提供者的標籤 (AWS API)

移除現有 IAM 身分提供者的標籤 (AWS API)

刪除 IAM 身分提供者 (AWS API)

  1. (選用) 若要列出所有 IdP 的資訊,例如 ARN、建立日期和過期,請呼叫下列操作:

  2. (選用) 若要取得特定提供者的相關資訊,例如 ARN、建立日期和過期,請呼叫下列操作:

  3. 若要刪除 IdP,請呼叫下列操作: