Erstellen eines SAML-Identitätsanbieters in IAM - AWS Identity and Access Management
VoraussetzungenIAM-SAML-Identitätsanbieter erstellen und verwalten (Konsole)Verwaltung von SAML-VerschlüsselungsschlüsselErstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)IAM-SAML-Identitätsanbieter (AWS-API) erstellen und verwaltenNächste Schritte

Erstellen eines SAML-Identitätsanbieters in IAM

Ein IAM-SAML 2.0-Identitätsanbieter ist eine Entität in IAM, die einen externen Identitätsanbieter-Service (Identity Provider, IdP) beschreibt, der den Standard SAML 2.0 (Security Assertion Markup Language 2.0) unterstützt. Sie verwenden einen IAM-Identitätsanbieter, wenn Sie eine Vertrauensstellung zwischen einem SAML-kompatiblen IDP wie Shibboleth oder Active Directory Federation Services und AWS herstellen möchten, damit Ihre Benutzer auf AWS-Ressourcen zugreifen können. IAM-SAML-Identitätsanbieter werden als Auftraggeber in einer IAM-Vertrauensrichtlinie verwendet.

Weitere Informationen zu diesem Szenario finden Sie unter SAML 2.0-Verbund.

Sie können einen IAM-Identitätsanbieter in der AWS-Managementkonsoleoder mit AWS CLI, Tools for Windows PowerShell oder AWS-API-Aufrufen erstellen und verwalten.

Nach dem Erstellen eines SAML-Anbieters müssen Sie eine oder mehrere IAM-Rollen erstellen. Eine Rolle ist eine Identität in AWS, die im Unterschied zu einem Benutzer keine eigenen Anmeldeinformationen hat. In diesem Zusammenhang wird jedoch einem SAML-Verbundprinzipal, der von Ihrem IDP authentifiziert wird, dynamisch eine Rolle zugewiesen. Die Rolle ermöglicht es dem Identitätsanbieter, temporäre Sicherheitsanmeldeinformationen für den Zugriff auf anzufordern AWS. Die der Rolle zugewiesenen Richtlinien bestimmen, welche Aktionen die Benutzer in AWS ausführen können. Weitere Informationen zum Erstellen einer Rolle für den SAML-Verbund finden Sie unter Erstellen einer Rolle für einen externen Identitätsanbieter .

Nachdem Sie die Rolle erstellt haben, stellen Sie abschließend die SAML-Vertrauensstellung fertig, indem Sie den Identitätsanbieter mit Informationen zu AWS und den Rollen konfigurieren, die die SAML-Verbundprinzipale verwenden sollen. Dies wird als Konfiguration der Vertrauensstellung zwischen Ihrem Identitätsanbieter und bezeichnet AWS. Weitere Informationen zum Konfigurieren der Vertrauensstellung für die vertrauende Seite finden Sie unter Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen.

Voraussetzungen

Bevor Sie einen SAML-Identitätsanbieter erstellen können, benötigen Sie die folgenden Informationen von Ihrem IdP.

  • Rufen Sie das SAML-Metadatendokument von Ihrem IdP ab. Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Verwenden Sie zum Generieren des Metadatendokuments die von Ihrem externen IdP bereitgestellte Identitätsverwaltungs-Software.

    Wichtig

    Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad++ als UTF-8 codieren.

    Das X.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das X.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das X.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IDP-Erstellung fehl und gibt den Fehler „Metadaten können nicht analysiert werden“ zurück.

    Gemäß der Definition im SAML V2.0 Metadata Interoperability Profile Version 1.0 bewertet IAM das Ablaufdatum von X.509-Zertifikaten in SAML-Metadatendokumenten nicht und ergreift auch keine Maßnahmen diesbezüglich. Wenn Sie Bedenken hinsichtlich abgelaufener X.509-Zertifikate haben, empfehlen wir Ihnen, die Ablaufdaten der Zertifikate zu überwachen und die Zertifikate gemäß den Governance- und Sicherheitsrichtlinien Ihres Unternehmens zu rotieren.

  • Wenn Sie die SAML-Verschlüsselung aktivieren möchten, müssen Sie mit Ihrem IDP eine private Schlüsseldatei erstellen und diese Datei im PEM-Dateiformat in Ihre IAM-SAML-Konfiguration hochladen. AWS STS benötigt diesen privaten Schlüssel, um SAML-Antworten zu entschlüsseln, die dem auf Ihren IDP hochgeladenen öffentlichen Schlüssel entsprechen. Die folgenden Algorithmen werden unterstützt:

    • Verschlüsselungsalgorithmen

      • AES-128

      • AES-256

      • RSA-OAEP

    • Schlüsseltransportalgorithmen

      • AES-CBC

      • AES-GCM

    Informationen zum Generieren eines privaten Schlüssels finden Sie in der Dokumentation Ihres Identitätsanbieters.

    Anmerkung

    IAM Identity Center und Amazon Cognito unterstützen keine verschlüsselten SAML-Assertionen von IAM-SAML-Identitätsanbietern. Sie können indirekt Unterstützung für verschlüsselte SAML-Assertionen zum Amazon-Cognito-Identitätspool-Verbund mit Amazon-Cognito-Benutzerpools hinzufügen. Benutzerpools verfügen über einen SAML-Verbund, der unabhängig vom IAM-SAML-Verbund ist und SAML-Signatur und -Verschlüsselung unterstützt. Obwohl dieses Feature nicht direkt auf Identitätspools anwendbar ist, können Benutzerpools IDPs für Identitätspools sein. Um SAML-Verschlüsselung mit Identitätspools zu verwenden, fügen Sie einem Benutzerpool, der ein IdP für einen Identitätspool ist, einen SAML-Anbieter mit Verschlüsselung hinzu.

    Ihr SAML-Anbieter muss in der Lage sein, SAML-Assertionen mit einem von Ihrem Benutzerpool bereitgestellten Schlüssel zu verschlüsseln. Benutzerpools akzeptieren keine Assertionen, die mit einem von IAM bereitgestellten Zertifikat verschlüsselt sind.

Anleitungen zum Konfigurieren der vielen verfügbaren Identitätsanbieter für die Zusammenarbeit mit AWS sowie zum Generieren des erforderlichen SAML-Metadatendokuments finden Sie unter Integration von Drittanbietern von SAML-Lösungen mit AWS.

Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

IAM-SAML-Identitätsanbieter erstellen und verwalten (Konsole)

Mit der AWS-Managementkonsole können Sie IAM SAML-Identitätsanbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-SAML-Identitätsanbieter (Konsole)

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter erstellen.

  3. Wählen Sie für die Anbieterkonfiguration SAML.

  4. Geben Sie einen Namen für den Identitätsanbieter ein.

  5. Klicken Sie unter Metadaten-Dokument auf Datei auswählen und geben Sie das SAML-Metadatendokument an, das Sie unter Voraussetzungen heruntergeladen haben.

    Anmerkung

    Das Attribut validUntil oder cacheDuration in Ihrem SAML-Metadatendokument definiert das Ablaufdatum für den Identitätsanbieter. Wenn Ihr SAML-Metadatendokument kein Attribut zur Gültigkeitsdauer enthält, stimmt das Ablaufdatum nicht mit dem Ablaufdatum Ihres X.509-Zertifikats überein.

    IAM bewertet das Ablaufen von X.509-Zertifikaten in SAML-Metadatendokumenten nicht und ergreift auch keine Maßnahmen. Wenn Sie Bedenken hinsichtlich abgelaufener X.509-Zertifikate haben, empfehlen wir Ihnen, die Ablaufdaten der Zertifikate zu überwachen und die Zertifikate gemäß den Governance- und Sicherheitsrichtlinien Ihres Unternehmens zu rotieren.

  6. (Optional) Wählen Sie für die SAML-Verschlüsselung die Option Datei auswählen und dann die private Schlüsseldatei aus, die Sie in Voraussetzungen erstellt haben. Wählen Sie Verschlüsselung erforderlich, um nur verschlüsselte Anfragen von Ihrem IdP zu akzeptieren.

  7. (Optional) Für Add tags (Tags hinzufügen) können Sie Schlüsselwertpaare hinzufügen, die Ihnen bei der Identifizierung und Organisation Ihrer Identitätsanbieter helfen. Sie können auch Tags verwenden, um den Zugriff auf AWS-Ressourcen zu steuern. Weitere Informationen zum Markieren von SAML-Identitätsanbietern finden Sie unter Markieren von IAM-SAML-Identitätsanbieter.

    Wählen Sie Add tag. Geben Sie Werte für jedes Tag-Schlüsselwertpaar ein.

  8. Verifizieren Sie die angegebenen Informationen. Wenn Sie fertig sind, wählen Sie Anbieter hinzufügen.

  9. Weisen Sie Ihrem Identitätsanbieter eine IAM-Rolle zu. Diese Rolle gewährt externen Benutzeridentitäten, die von Ihrem Identitätsanbieter verwaltet werden, Berechtigungen für den Zugriff auf AWS-Ressourcen in Ihrem Konto. Weitere Informationen zum Erstellen von Rollen für den Identitätsverbund finden Sie unter Erstellen einer Rolle für einen externen Identitätsanbieter .

    Anmerkung

    SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

So löschen Sie einen SAML-Anbieter (Konsole)

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter.

  3. Aktivieren Sie das Kontrollkästchen neben dem Identitätsanbieter, den Sie löschen möchten.

  4. Wählen Sie Löschen aus. Ein neues Fenster wird geöffnet.

  5. Bestätigen Sie, dass Sie den Anbieter löschen möchten, indem Sie das Wort delete in das Feld eingeben. Wählen Sie dann Löschen.

Verwaltung von SAML-Verschlüsselungsschlüssel

Sie können IAM-SAML-Anbieter so konfigurieren, dass sie verschlüsselte Assertionen in der SAML-Antwort von Ihrem externen IdP empfangen. Benutzer können mit verschlüsselten SAML-Assertionen eine Rolle in AWS übernehmen, indem sie sts:AssumeRoleWithSAML aufrufen.

Durch die SAML-Verschlüsselung wird sichergestellt, dass Aussagen sicher sind, wenn sie über Vermittler oder Dritte übermittelt werden. Darüber hinaus unterstützt Sie dieses Feature dabei, FedRAMP oder andere interne Compliance-Richtlinienanforderungen zu erfüllen, die eine Verschlüsselung von SAML-Assertionen vorschreiben.

Informationen zum Konfigurieren eines IAM-SAML-Identitätsanbieters finden Sie unter Erstellen eines SAML-Identitätsanbieters in IAM. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

Rotieren des SAML-Verschlüsselungsschlüssels

IAM verwendet den privaten Schlüssel, den Sie beim IAM-SAML-Anbieter hochgeladen haben, um verschlüsselte SAML-Assertionen von Ihrem IDP zu entschlüsseln. Sie können für jeden Identitätsanbieter bis zu zwei private Schlüsseldateien speichern, sodass Sie private Schlüssel nach Bedarf rotieren können. Wenn zwei Dateien gespeichert werden, versucht jede Anfrage zuerst, die Datei mit dem neuesten Hinzufügungsdatum zu entschlüsseln. Anschließend versucht IAM, die Anfrage mit dem ältesten Hinzufügungsdatum zu entschlüsseln.

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter und wählen Sie dann Ihren Anbieter aus der Liste aus.

  3. Wählen Sie die Registerkarte SAML-Verschlüsselung und dann Neuen Schlüssel hinzufügen aus.

  4. Wählen Sie Datei auswählen und laden Sie den privaten Schlüssel, den Sie von Ihrem IDP heruntergeladen haben, als PEM-Datei hoch. Wählen Sie dann Schlüssel hinzufügen aus.

  5. Wählen Sie im Abschnitt Private Schlüssel für SAML-Entschlüsselung die abgelaufene private Schlüsseldatei aus und wählen Sie Entfernen aus. Wir empfehlen Ihnen, den abgelaufenen privaten Schlüssel zu entfernen, nachdem Sie einen neuen privaten Schlüssel hinzugefügt haben, um sicherzustellen, dass der erste Versuch zum Entschlüsseln Ihrer Assertion erfolgreich ist.

Erstellen und Verwalten eines IAM-SAML-Identitätsanbieters (AWS CLI)

Mit der AWS CLI können Sie SAML-Anbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument hoch (AWS CLI)
So aktualisieren Sie einen IAM SAML-Identitätsanbieter (AWS CLI)

Sie können die Metadatendatei und die SAML-Verschlüsselungseinstellungen aktualisieren und die Entschlüsselungsdateien für private Schlüssel für Ihren IAM-SAML-Anbieter rotieren. Um private Schlüssel zu rotieren, fügen Sie Ihren neuen privaten Schlüssel hinzu und entfernen Sie dann den alten Schlüssel in einer separaten Anforderung. Weitere Informationen zum Rotieren von privaten Schlüsseln finden Sie unter Verwaltung von SAML-Verschlüsselungsschlüssel.

Markieren eines vorhandenen IAM-Identitätsanbieters (AWS CLI)
Auflisten von Tags für bestehenden IAM-Identitätsanbieter (AWS CLI)
Entfernen von Tags auf einem bestehenden IAM-Identitätsanbieter (AWS CLI)
So löschen Sie einen IAM-SAML-Identitätsanbieter (AWS CLI)

  1. (Optional) Führen Sie zum Auflisten der Informationen für alle Anbieter (z. B. ARN, Erstellungsdatum und Ablaufdatum) folgenden Befehl aus:

  2. (Optional) Um Informationen zu einem bestimmten Anbieter abzurufen, z. B. ARN, Erstellungsdatum, Ablaufdatum, Verschlüsselungseinstellungen und Informationen zum privaten Schlüssel, führen Sie den folgenden Befehl aus:

  3. Führen Sie zum Löschen eines IAM-Identitätsanbieters den folgenden Befehl aus:

IAM-SAML-Identitätsanbieter (AWS-API) erstellen und verwalten

Mit der AWS-API können Sie SAML-Anbieter erstellen, aktualisieren und löschen. Unterstützung zum SAML-Verbund finden Sie unter Fehlerbehebung beim SAML-Verbund.

So erstellen Sie einen IAM-Identitätsanbieter und laden ein Metadatendokument hoch (AWS-API)
So aktualisieren Sie einen IAM-SAML-Identitätsanbieter (AWS-API)

Sie können die Metadatendatei und die SAML-Verschlüsselungseinstellungen aktualisieren und die Entschlüsselungsdateien für private Schlüssel für Ihren IAM-SAML-Anbieter rotieren. Um private Schlüssel zu rotieren, fügen Sie Ihren neuen privaten Schlüssel hinzu und entfernen Sie dann den alten Schlüssel in einer separaten Anforderung. Weitere Informationen zum Rotieren von privaten Schlüsseln finden Sie unter Verwaltung von SAML-Verschlüsselungsschlüssel.

Markieren eines vorhandenen IAM-Identitätsanbieters (AWS-API)
Auflisten von Tags für einen bestehenden IAM-Identitätsanbieter (AWS-API)
Entfernen von Tags auf einem bestehenden IAM-Identitätsanbieter (AWS-API)
So löschen Sie einen IAM-Identitätsanbieter (AWS-API)

  1. (Optional) Rufen Sie zum Auflisten der Informationen (z. B. ARN, Erstellungsdatum und Ablaufdatum) für alle Identitätsanbieter folgende Operation auf:

  2. (Optional) Um Informationen zu einem bestimmten Anbieter abzurufen, z. B. ARN, Erstellungsdatum, Ablaufdatum, Verschlüsselungseinstellungen und private Schlüsselinformationen, rufen Sie die folgende Operation auf:

  3. Rufen Sie zum Löschen eines Identitätsanbieters die folgende Operation auf:

Nächste Schritte

Nachdem Sie einen SAML-Identitätsanbieter erstellt haben, richten Sie die Vertrauensstellung der vertrauenden Partei mit Ihrem IdP ein. Sie können auch Anträge aus der Authentifizierungsantwort Ihres IdP in Richtlinien verwenden, um den Zugriff auf eine Rolle zu steuern.