使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告

當您為 SAML 存取權建立 IAM 身分提供者和角色時,基本上是在告知 AWS 有關允許身分提供者 (IdP) 和其使用者執行哪些動作。您的下一個步驟是以服務提供者身分告訴 IdP 有關 AWS 之事。這稱為在 IdP 和 之間新增依賴方信任AWS。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱身分管理軟體的文件。

許多 IdP 都可以讓您指定 URL,以供 IdP 從其讀取包含依賴方資訊和憑證的 XML 文件。對於 AWS,使用 https://region-code.signin.aws.amazon.com/static/saml-metadata.xml 或者 https://signin.aws.amazon.com/static/saml-metadata.xml。對於可能的 region-code 值清單,請參閱 AWS 登入端點中的 Region (區域) 欄位。

如果您無法直接指定 URL,請從先前的 URL 下載 XML 文件,然後匯入到您的 IdP 軟體。

您也需要在 IdP 建立適當的宣告規則,指定 AWS 成為依賴方。IdP 將 SAML 回應傳送至 AWS 端點時,會包含 SAML 聲明,其中包含一或多個宣告。宣告是和使用者及其群組相關的資訊。宣告規則將該資訊對應到 SAML 屬性。這可讓您確保來自 IdP 的 SAML 身分驗證回應包含 AWS 用於 IAM 政策的必要屬性,以檢查聯合身分使用者的許可。如需詳細資訊,請參閱下列主題:

注意

若要改善聯合彈性,建議您將 IdP 和 AWS 聯合設定為支援多個 SAML 登入端點。如需詳細資訊,請參閱 AWS 安全部落格文章如何使用區域 SAML 端點進行容錯移轉