本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在中建立SAML身分識別提供者 IAM
IAMSAML2.0 身分識別提供者是中IAM描述支援 2.0 (安全性宣告標記語言 SAML 2.0) 標準的外部身分識別提供者 (IdP)
如需有關此案例的詳細資訊,請參閱 SAML联邦。
您可以在或使用 AWS CLI、Windows PowerShell 工具 AWS Management Console 或 AWS API呼叫中建立和管理IAM身分識別提供者。
建立SAML提供者之後,您必須建立一或多個IAM角色。角色是沒有自己認證的身份(就像用戶一樣)。 AWS 但在此情況中,角色是以動態指派給聯合身分使用者,而該使用者由您組織的身分提供者 (IdP) 進行驗證。角色可允許您組織的 IdP 請求暫時性安全憑證以存取 AWS。指派給角色的原則會決定允許同盟使用者在中 AWS執行的動作。若要建立SAML聯合的角色,請參閱建立第三方身分識別提供者 (同盟) 的角色。
最後,在建立角色之後,您可以將 IdP 配置為您希望同盟使用者使用的相關資訊以 AWS 及角色來完成SAML信任。這是指在您的 IdP 和 AWS之間設定依賴方信任。若要設定依賴方信任,請參閱使用信賴方信任和新增宣告來設定您的 SAML 2.0 IdP。
必要條件
建立SAML身分識別提供者之前,您必須先從 IdP 取得下列資訊。
-
從您的 IdP 取得SAML中繼資料文件。本文件包含發行者的名稱、到期資訊,以及可用來驗證從 IdP 接收的驗證回應 (宣告) 的金鑰。SAML若要產生中繼資料文件,請使用外部 IdP 提供的身分識別管理軟體。
重要
此中繼資料檔案包含發行者名稱、到期資訊和金鑰,這些金鑰可用來驗證從 IdP 接收到的驗證回應 (宣告)。SAML中繼資料檔案必須以 UTF -8 格式編碼,而不需要位元組順序標記 (BOM)。若要移除BOM,您可以使用文字編輯工具 (例如記事本 ++) 將檔案編碼為 UTF -8。
包含在SAML中繼資料文件中的 x.509 憑證必須使用至少 1024 位元的金鑰大小。此外,x.509 憑證也必須沒有任何重複的擴充。您可以使用擴充,但這些擴充只能在憑證中出現一次。如果 x.509 憑證不符合任一條件,IdP 建立會失敗,並傳回「無法剖析中繼資料」錯誤。
如 SAMLV2.0 中繼資料互通性設定檔 1.0 版
所定義,對於中繼資料文件 X.509 憑證到期時,IAM既不會評估也不採取行動。
如需有關如何配置許多可供使用 IdPs 的指示 AWS,包括如何產生所需的SAML中繼資料文件,請參閱將第三方 SAML 解決方案提供者與 AWS。
如需SAML聯合的說明,請參閱疑難排解SAML聯盟。
建立和管理IAMSAML身分識別提供者 (主控台)
您可以使用建 AWS Management Console 立、更新和刪除IAMSAML身分識別提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟。
若要建立IAMSAML身分識別提供者 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,請選擇 Identity providers (身分提供者),然後選擇 Add provider (新增供應商)。
-
對於 [設定提供者],選擇SAML。
-
輸入身分提供者的名稱。
-
在「中繼資料」文件中,選擇「選擇檔案」,然後指定您下載的中SAML繼資料文件必要條件。
-
(選擇性) 對於「新增標籤」,您可以新增金鑰與值配對,以協助您識別和組織您的. IdPs 您也可以使用標籤來控制對 AWS 資源的存取。若要進一步瞭解標記SAML身分識別提供者,請參閱標記IAMSAML身分提供者。
選擇 Add tag (新增標籤)。輸入每個標籤鍵值組的值。
-
請確認您提供的資訊。完成後,請選擇 Add provider (新增提供者)。
-
將IAM角色指派給您的身分識別提供者,以授與身分識別提供者所管理的外部使用者身分識別存取帳戶中 AWS 資源的權限。若要深入了解如何建立聯合身分角色,請參閱 建立第三方身分識別提供者 (同盟) 的角色。
注意
SAMLIDPs在角色信任策略中使用的帳戶必須與角色所在的帳戶相同。
若要刪除提SAML供者 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,請選擇 Identity providers (身分提供者)。
-
在您要刪除的身分提供者旁邊,選取選項按鈕。
-
選擇 Delete (刪除)。新的視窗將開啟。
-
在欄位中輸入單字
delete
,確認您要刪除提供者。再選擇 Delete (刪除)。
建立和管理IAMSAML身分識別提供者 (AWS CLI)
您可以使用 AWS CLI 建立、更新和刪除SAML提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟。
若要建立IAM身分識別提供者並上傳中繼資料文件 (AWS CLI)
若要更新IAMSAML身分識別提供者 (AWS CLI)
標記現有IAM身分識別提供者 (AWS CLI)
若要列出現有IAM身分識別提供者的標籤 (AWS CLI)
若要移除現有IAM身分識別提供者上的標籤 (AWS CLI)
若要刪除IAMSAML身分識別提供者 (AWS CLI)
-
(選擇性) 若要列出所有提供者的資訊,例如ARN,建立日期和到期日,請執行下列命令:
-
(選擇性) 若要取得有關特定提供者的資訊,例如ARN、建立日期、到期日、加密設定和私密金鑰資訊,請執行下列命令:
-
若要刪除IAM身分識別提供者,請執行下列命令:
建立和管理IAMSAML身分識別提供者 (AWS API)
您可以使用 AWS API建立、更新和刪除SAML提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟。
若要建立IAM身分識別提供者並上傳中繼資料文件 (AWS API)
-
呼叫此操作:
CreateSAMLProvider
若要更新IAMSAML身分識別提供者 (AWS API)
-
呼叫此操作:
UpdateSAMLProvider
標記現有IAM身分識別提供者 (AWS API)
-
呼叫此操作:
TagSAMLProvider
若要列出現有IAM身分識別提供者的標籤 (AWS API)
-
呼叫此操作:
ListSAMLProviderTags
若要移除現有IAM身分識別提供者上的標籤 (AWS API)
-
呼叫此操作:
UntagSAMLProvider
若要刪除IAM身分識別提供者 (AWS API)
-
(選擇性) 若要列出所有人的資訊 IdPs,例如ARN、建立日期和到期日,請呼叫下列作業:
-
(選擇性) 若要取得有關特定提供者的資訊,例如ARN、建立日期、到期日、加密設定和私密金鑰資訊,請呼叫下列作業:
-
若要刪除 IdP,請呼叫下列操作:
後續步驟
建立身SAML分識別提供者之後,請使用 IdP 設定信賴憑證者信任。您也可以在原則中使用 IdP 驗證回應中的宣告來控制角色的存取。
-
您必須告訴 IdP AWS 作為服務提供者。這稱為在 IdP 和 AWS之間新增信賴憑證者信任。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱 使用信賴方信任和新增宣告來設定您的 SAML 2.0 IdP。
-
當 IdP 將包含聲明的響應發送到時 AWS,許多傳入的聲明映射到 AWS 上下文鍵。您可以使用「條件」元素在IAM策略中使用這些前後關聯索引鍵來控制角色的存取。如需詳細資訊,請參閱設定驗證回SAML應的宣告