在中建立SAML身分識別提供者 IAM - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在中建立SAML身分識別提供者 IAM

IAMSAML2.0 身分識別提供者是中IAM描述支援 2.0 (安全性宣告標記語言 SAML 2.0) 標準的外部身分識別提供者 (IdP) 服務的實體。當您想要在SAML相容 IdP (例如 Shibboleth 或 Active Directory 同盟服務) 之間建立信任,以便組織中的使用者可以存取資源時 AWS,您可以使用IAM身分識別提供者。 AWS IAMSAML身分識別提供者可作為IAM信任原則中的主參與者使用。

如需有關此案例的詳細資訊,請參閱 SAML联邦

您可以在或使用 AWS CLI、Windows PowerShell 工具 AWS Management Console 或 AWS API呼叫中建立和管理IAM身分識別提供者。

建立SAML提供者之後,您必須建立一或多個IAM角色。角色是沒有自己認證的身份(就像用戶一樣)。 AWS 但在此情況中,角色是以動態指派給聯合身分使用者,而該使用者由您組織的身分提供者 (IdP) 進行驗證。角色可允許您組織的 IdP 請求暫時性安全憑證以存取 AWS。指派給角色的原則會決定允許同盟使用者在中 AWS執行的動作。若要建立SAML聯合的角色,請參閱建立第三方身分識別提供者 (同盟) 的角色

最後,在建立角色之後,您可以將 IdP 配置為您希望同盟使用者使用的相關資訊以 AWS 及角色來完成SAML信任。這是指在您的 IdP 和 AWS之間設定依賴方信任。若要設定依賴方信任,請參閱使用信賴方信任和新增宣告來設定您的 SAML 2.0 IdP

必要條件

建立SAML身分識別提供者之前,您必須先從 IdP 取得下列資訊。

  • 從您的 IdP 取得SAML中繼資料文件。本文件包含發行者的名稱、到期資訊,以及可用來驗證從 IdP 接收的驗證回應 (宣告) 的金鑰。SAML若要產生中繼資料文件,請使用外部 IdP 提供的身分識別管理軟體。

    重要

    此中繼資料檔案包含發行者名稱、到期資訊和金鑰,這些金鑰可用來驗證從 IdP 接收到的驗證回應 (宣告)。SAML中繼資料檔案必須以 UTF -8 格式編碼,而不需要位元組順序標記 (BOM)。若要移除BOM,您可以使用文字編輯工具 (例如記事本 ++) 將檔案編碼為 UTF -8。

    包含在SAML中繼資料文件中的 x.509 憑證必須使用至少 1024 位元的金鑰大小。此外,x.509 憑證也必須沒有任何重複的擴充。您可以使用擴充,但這些擴充只能在憑證中出現一次。如果 x.509 憑證不符合任一條件,IdP 建立會失敗,並傳回「無法剖析中繼資料」錯誤。

    SAMLV2.0 中繼資料互通性設定檔 1.0 版所定義,對於中繼資料文件 X.509 憑證到期時,IAM既不會評估也不採取行動。

如需有關如何配置許多可供使用 IdPs 的指示 AWS,包括如何產生所需的SAML中繼資料文件,請參閱將第三方 SAML 解決方案提供者與 AWS

如需SAML聯合的說明,請參閱疑難排解SAML聯盟

建立和管理IAMSAML身分識別提供者 (主控台)

您可以使用建 AWS Management Console 立、更新和刪除IAMSAML身分識別提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟

若要建立IAMSAML身分識別提供者 (主控台)
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,請選擇 Identity providers (身分提供者),然後選擇 Add provider (新增供應商)。

  3. 對於 [設定提供者],選擇SAML

  4. 輸入身分提供者的名稱。

  5. 在「中繼資料」文件中,選擇「選擇檔案」,然後指定您下載的中SAML繼資料文件必要條件

  6. (選擇性) 對於「新增標籤」,您可以新增金鑰與值配對,以協助您識別和組織您的. IdPs 您也可以使用標籤來控制對 AWS 資源的存取。若要進一步瞭解標記SAML身分識別提供者,請參閱標記IAMSAML身分提供者

    選擇 Add tag (新增標籤)。輸入每個標籤鍵值組的值。

  7. 請確認您提供的資訊。完成後,請選擇 Add provider (新增提供者)。

  8. 將IAM角色指派給您的身分識別提供者,以授與身分識別提供者所管理的外部使用者身分識別存取帳戶中 AWS 資源的權限。若要深入了解如何建立聯合身分角色,請參閱 建立第三方身分識別提供者 (同盟) 的角色

    注意

    SAMLIDPs在角色信任策略中使用的帳戶必須與角色所在的帳戶相同。

若要刪除提SAML供者 (主控台)
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,請選擇 Identity providers (身分提供者)。

  3. 在您要刪除的身分提供者旁邊,選取選項按鈕。

  4. 選擇 Delete (刪除)。新的視窗將開啟。

  5. 在欄位中輸入單字 delete,確認您要刪除提供者。再選擇 Delete (刪除)。

建立和管理IAMSAML身分識別提供者 (AWS CLI)

您可以使用 AWS CLI 建立、更新和刪除SAML提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟

若要建立IAM身分識別提供者並上傳中繼資料文件 (AWS CLI)
若要更新IAMSAML身分識別提供者 (AWS CLI)
標記現有IAM身分識別提供者 (AWS CLI)
若要列出現有IAM身分識別提供者的標籤 (AWS CLI)
若要移除現有IAM身分識別提供者上的標籤 (AWS CLI)
若要刪除IAMSAML身分識別提供者 (AWS CLI)
  1. (選擇性) 若要列出所有提供者的資訊,例如ARN,建立日期和到期日,請執行下列命令:

  2. (選擇性) 若要取得有關特定提供者的資訊,例如ARN、建立日期、到期日、加密設定和私密金鑰資訊,請執行下列命令:

  3. 若要刪除IAM身分識別提供者,請執行下列命令:

建立和管理IAMSAML身分識別提供者 (AWS API)

您可以使用 AWS API建立、更新和刪除SAML提供者。如需SAML聯合的說明,請參閱疑難排解SAML聯盟

若要建立IAM身分識別提供者並上傳中繼資料文件 (AWS API)
若要更新IAMSAML身分識別提供者 (AWS API)
標記現有IAM身分識別提供者 (AWS API)
若要列出現有IAM身分識別提供者的標籤 (AWS API)
若要移除現有IAM身分識別提供者上的標籤 (AWS API)
若要刪除IAM身分識別提供者 (AWS API)
  1. (選擇性) 若要列出所有人的資訊 IdPs,例如ARN、建立日期和到期日,請呼叫下列作業:

  2. (選擇性) 若要取得有關特定提供者的資訊,例如ARN、建立日期、到期日、加密設定和私密金鑰資訊,請呼叫下列作業:

  3. 若要刪除 IdP,請呼叫下列操作:

後續步驟

建立身SAML分識別提供者之後,請使用 IdP 設定信賴憑證者信任。您也可以在原則中使用 IdP 驗證回應中的宣告來控制角色的存取。

  • 您必須告訴 IdP AWS 作為服務提供者。這稱為在 IdP 和 AWS之間新增信賴憑證者信任。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱 使用信賴方信任和新增宣告來設定您的 SAML 2.0 IdP

  • 當 IdP 將包含聲明的響應發送到時 AWS,許多傳入的聲明映射到 AWS 上下文鍵。您可以使用「條件」元素在IAM策略中使用這些前後關聯索引鍵來控制角色的存取。如需詳細資訊,請參閱設定驗證回SAML應的宣告