Je souhaite capturer et analyser la réponse SAML afin de pouvoir résoudre les erreurs courantes rencontrées lorsque j'utilise la fédération SAML 2.0 avec AWS.
Brève description
Assurez-vous d'avoir correctement configuré Active Directory. Pour en savoir plus, consultez la page AWS Federated Authentication with Active Directory Federation Services (AD FS).
Pour configurer un accès fédéré à vos comptes AWS pour la première fois, il est recommandé d'utiliser AWS IAM Identity Center.
Pour résoudre les erreurs liées au protocole SAML, procédez comme suit :
- Affichez et décodez la réponse SAML dans votre navigateur.
- Vérifiez les valeurs du fichier décodé.
- Vérifiez l'absence d'erreurs, puis confirmez la configuration.
Résolution
Afficher et décoder une réponse SAML
Affichez la réponse SAML dans votre navigateur, puis utilisez un outil de décodage pour extraire la réponse envoyée à AWS.
Vérifier les valeurs du fichier décodé
Vérifiez les valeurs du fichier de réponse SAML décodé :
- Vérifiez que la valeur de l'attribut saml:NameID correspond bien au nom d'utilisateur de l'utilisateur authentifié.
- Vérifiez la valeur pour https://aws.amazon.com/SAML/Attributes/Role. L'ARN et le fournisseur SAML distinguent les majuscules et minuscules, et l'ARN doit correspondre à la ressource de votre compte.
- Vérifiez la valeur pour https://aws.amazon.com/SAML/Attributes/RoleSessionName. Cette valeur doit correspondre à la valeur indiquée dans la règle de réclamation. Si une valeur d'attribut est configurée pour une adresse e-mail ou un nom de compte, vérifiez que ces valeurs sont correctes. Ces valeurs doivent correspondre à l'adresse e-mail ou au nom de compte de l'utilisateur Active Directory authentifié.
Vérifier les erreurs et confirmer la configuration
Vérifiez si les valeurs comportent des erreurs et confirmez que les configurations suivantes sont correctes :
Pour obtenir la liste des problème courants, consultez la section Résolution des problèmes liés à la fédération SAML 2.0 avec AWS. Si vous avez configuré des règles de réclamation dans Active Directory, veillez à configurer les assertions SAML pour la réponse d'authentification.