如何捕获和分析 SAML 响应以排查在 AWS 上使用 SAML 2.0 联合身份验证时出现的错误?
1 分钟阅读
0
我想捕获和分析 SAML 响应,以排查在 AWS 上使用 SAML 2.0 联合身份验证时出现的错误。
简短描述
确保已正确配置 Active Directory。有关更多信息,请参阅 AWS 联合身份验证与 Active Directory 联合验证身份服务 (AD FS)。
要首次设置对 AWS 账户的联合访问权限,最佳做法是使用 AWS IAM Identity Center。
要排查与 SAML 相关的错误,请执行以下操作:
- 在浏览器中查看和解码 SAML 响应。
- 查看已解码文件中的值。
- 检查是否存在错误并确认配置。
解决方法
查看和解码 SAML 响应
在浏览器中查看 SAML 响应,然后使用解码工具提取 AWS 接收到的响应。
查看已解码文件中的值
查看已解码的 SAML 响应文件中的值:
- 验证 saml:NameID 属性的值与经过身份验证的用户的用户名是否匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/Role 的值。ARN 和 SAML 提供者需区分大小写,且 ARN 必须与您账户中的资源相匹配。
- 查看 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的值。该值必须与声明规则中的值相匹配。如果为电子邮件地址或账户名配置属性值,请确保这些值正确无误。这些值必须与经过身份验证的 Active Directory 用户的电子邮件地址或账户名相符。
检查错误并确认配置
检查这些值是否包含错误,并确认以下配置正确无误:
- 声明规则包含要求的要素,所有 ARN 正确无误。有关更多信息,请参阅配置具有依赖方信任的 SAML 2.0 IdP 并添加声明。
- 已将最新的元数据文件从 IdP 上传到 SAML 提供者的 AWS。有关更多信息,请参阅启用 SAML 2.0 联合主体访问 AWS 管理控制台。
- 已正确配置 AWS Identity and Access Management (IAM) 角色的信任策略。有关详细信息,请参阅更新角色信任策略(控制台)。
- 确认尝试登录的 Active Directory 用户是 IAM 角色的 Active Directory 组的成员。
有关错误列表,请参阅使用 IAM 对 SAML 联合身份验证进行故障排除。如果在 Active Directory 中配置了声明规则,请务必为身份验证响应配置 SAML 断言。
相关信息
- 语言
- 中文 (简体)
AWS 官方已更新 7 个月前
没有评论
