Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion
<a name="id_roles_providers_create_saml_assertions"></a>

Nachdem Sie die Identität eines Benutzers in Ihrer Organisation überprüft haben, sendet der externe Identitätsanbieter (IdP) eine Authentifizierungsantwort an die URL des AWS Anmeldeendpunkts. Diese Antwort ist eine POST-Anforderung, die ein SAML-Token enthält, das dem Standard für [HTTP-POST-Bindungen für SAML 2.0](http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf) entspricht und die folgenden Elemente oder *Ansprüche* enthält. Sie konfigurieren diese Ansprüche in Ihrem SAML-kompatiblen Identitätsanbieter. Anweisungen dazu, wie Sie diese Ansprüche eingeben, finden Sie in der Dokumentation für Ihren Identitätsanbieter.

Wenn der IdP die Antwort mit den Ansprüchen an sendet AWS, werden viele der eingehenden Ansprüche AWS Kontextschlüsseln zugeordnet. Diese Kontextschlüssel können in IAM-Richtlinien mithilfe des `Condition`-Elements überprüft werden. Eine Liste der verfügbaren Zuordnungen folgt im Abschnitt [Zuordnung von SAML-Attributen zu AWS vertrauenswürdigen Policy-Kontextschlüsseln](#saml-attribute-mapping).

## `Subject` und `NameID`
<a name="saml_subject-name-id"></a>

Die Antwort muss genau ein `SubjectConfirmation`-Element mit einem `SubjectConfirmationData`-Element enthalten, das das `NotOnOrAfter`-Attribut und das `Recipient`-Attribut enthält. Das Recipient-Attribut muss einen Wert enthalten, der mit der URL des AWS Anmeldeendpunkts übereinstimmt. Ihr IdP kann den Begriff`ACS`,, verwenden`Recipient`, `Target` um auf dieses Attribut zu verweisen.

Wenn eine SAML-Verschlüsselung erforderlich ist, muss die Anmelde-URL die eindeutige Kennung enthalten, die AWS Ihrem SAML-Anbieter zuweist. Diese finden Sie auf der Detailseite des Identitätsanbieters. Das folgende Beispiel veranschaulicht das Format der Anmelde-URL mit dem optionalen `region-code`.

`https://region-code.signin.aws.amazon.com/saml`

Im folgenden Beispiel enthält die Anmelde-URL eine eindeutige Kennung, weshalb /acs/ an den Anmeldepfad angefügt werden muss.

`https://region-code.signin.aws.amazon.com/saml/acs/IdP-ID`

Eine Liste möglicher *region-code* Werte finden Sie in der Spalte **Region** unter [AWS Anmelde-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/signin-service.html). Für den AWS Wert können Sie auch den globalen Anmeldeendpunkt verwenden. `https://signin.aws.amazon.com/saml`

`NameID`-Elemente können den Wert „persistent“ oder „transient“ haben oder aus dem vollständigen Format-URI bestehen, der von der IDP-Lösung bereitgestellt wird. Der Wert „persistent“ gibt an, dass der Wert in `NameID` für einen Benutzer für alle Sitzungen identisch ist. Wenn der Wert „transient“ lautet, hat der Benutzer für jede Sitzung einen anderen `NameID`-Wert. Single-Sign-On-Interaktionen unterstützen die folgenden Arten von Identifikatoren:
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:persistent`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:transient`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName`
+ `urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos`
+ `urn:oasis:names:tc:SAML:2.0:nameid-format:entity`

Der folgende Auszug zeigt ein Beispiel. Ersetzen Sie die markierten Werte durch Ihre eigenen Werte.

```
<Subject>
  <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">_cbb88bf52c2510eabe00c1642d4643f41430fe25e3</NameID>
  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
    <SubjectConfirmationData NotOnOrAfter="2013-11-05T02:06:42.876Z" Recipient="https://region-code.signin.aws.amazon.com/saml/SAMLSP4SHN3UIS2D558H46"/>
  </SubjectConfirmation>
</Subject>
```

**Wichtig**  
Der `saml:aud`-Kontextschlüssel stammt aus dem *Empfänger*-Attribut in SAML, da dies das SAML-Äquivalent zum OIDC-Zielgruppenfeld ist, z. B. `accounts.google.com:aud`.

## `PrincipalTag`-SAML-Attribut
<a name="saml_role-session-tags"></a>

(Optional) Sie können ein `Attribute`-Element verwenden, bei dem das `Name`-Attribut auf `https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey}` festgelegt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Hinweise zu Sitzungs-Tags finden Sie unter [Sitzungs-Tags übergeben AWS STS](id_session-tags.md).

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie zum Beispiel das folgende Attribut, um die Tag-Schlüssel-Wert-Paare `Project` = `Marketing` und `CostCenter` = `12345` zu übergeben. Fügen Sie für jedes Tag ein separates `Attribute`-Element hinzu.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Project">
  <AttributeValue>Marketing</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:CostCenter">
  <AttributeValue>12345</AttributeValue>
</Attribute>
```

Um die oben genannten Tags als transitiv festzulegen, schließen Sie ein weiteres `Attribute`-Element ein und legen dabei für das Attribut `Name` den Wert`https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys` fest. Dies ist ein optionales Mehrwertattribut, das Ihre Sitzungs-Tags als transitiv festlegt. Transitive Tags bleiben erhalten, wenn Sie die SAML-Sitzung verwenden, um eine andere Rolle in AWS zu übernehmen. Dies wird als [Rollenverkettung](id_roles.md#iam-term-role-chaining) bezeichnet. Um beispielsweise die Tags `Principal` und `CostCenter` als transitiv festzulegen, verwenden Sie das folgende Attribut, um die Schlüssel anzugeben.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>Project</AttributeValue>
  <AttributeValue>CostCenter</AttributeValue>
</Attribute>
```

## `Role`-SAML-Attribut
<a name="saml_role-attribute"></a>

Sie können ein `Attribute`-Element verwenden, bei dem das `Name`-Attribut auf `https://aws.amazon.com/SAML/Attributes/Role` festgelegt ist. Dieses Element enthält mindestens ein `AttributeValue`-Element, das den IAM-Identitätsanbieter und die Rolle aufführt, denen der Benutzer von Ihrem Identitätsanbieter zugeordnet wird. [Die IAM-Rolle und der IAM-Identitätsanbieter werden als kommagetrenntes Paar ARNs in demselben Format wie die Parameter `RoleArn` und `PrincipalArn` angegeben, die an SAML übergeben werden. AssumeRoleWith](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) Dieses Element muss mindestens ein Rolle-Anbieter-Paar (`AttributeValue`-Element) enthalten und kann auch mehrere Paare enthalten. Wenn das Element mehrere Paare enthält, werden die Benutzer aufgefordert auszuwählen, welche Rolle übernommen werden soll, wenn sie sich mithilfe von WebSSO bei der AWS-Managementkonsole anmelden.

**Wichtig**  
Beim Wert des `Name`-Attributs im `Attribute`-Tag ist die Groß-/Kleinschreibung zu beachten. Er muss ganz genau auf `https://aws.amazon.com/SAML/Attributes/Role` festgelegt werden.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/Role">
  <AttributeValue>arn:aws:iam::account-number:role/role-name1,arn:aws:iam::account-number:saml-provider/provider-name</AttributeValue>
  <AttributeValue>arn:aws:iam::account-number:role/role-name2,arn:aws:iam::account-number:saml-provider/provider-name</AttributeValue>
  <AttributeValue>arn:aws:iam::account-number:role/role-name3,arn:aws:iam::account-number:saml-provider/provider-name</AttributeValue>
</Attribute>
```

## `RoleSessionName`-SAML-Attribut
<a name="saml_role-session-attribute"></a>

Sie können ein `Attribute`-Element verwenden, bei dem das `Name`-Attribut auf `https://aws.amazon.com/SAML/Attributes/RoleSessionName` festgelegt ist. Dieses Element enthält ein `AttributeValue`-Element, das einen Bezeichner für die temporären -Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Damit können Sie die temporären Anmeldeinformationen dem Benutzer zuordnen, der Ihre Anwendung verwendet. Dieses Element wird verwendet, um Benutzerinformationen in der anzuzeigen. AWS-Managementkonsole Der Wert des `AttributeValue`-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: **. , \$1 = @ -** (Bindestrich). Er darf keine Leerzeichen enthalten. Der Wert ist in der Regel eine Benutzer-ID (`john`) oder eine E-Mail-Adresse (`johndoe@example.com`). Er sollte kein Wert sein, der ein Leerzeichen enthält, wie etwa der Anzeigename eines Benutzers (`John Doe`).

**Wichtig**  
Beim Wert des `Name`-Attributs im `Attribute`-Tag ist die Groß-/Kleinschreibung zu beachten. Er muss ganz genau auf `https://aws.amazon.com/SAML/Attributes/RoleSessionName` festgelegt werden.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/RoleSessionName">
  <AttributeValue>user-id-name</AttributeValue>
</Attribute>
```

## `SessionDuration`-SAML-Attribut
<a name="saml_role-session-duration"></a>

(Optional) Sie können ein `Attribute`-Element verwenden, bei dem das `Name`-Attribut auf `https://aws.amazon.com/SAML/Attributes/SessionDuration` festgelegt ist. Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange der Benutzer darauf zugreifen kann, AWS-Managementkonsole bevor er neue temporäre Anmeldeinformationen anfordern muss. Der Wert ist eine Ganzzahl, die die Anzahl der Sekunden für die Sitzung angibt. Der Wert kann im Bereich zwischen 900 Sekunden (15 Minuten) und 43 200 Sekunden (12 Stunden) liegen. Wenn dieses Attribut nicht vorhanden ist, gelten die Anmeldeinformationen eine Stunde lang (der Standardwert des `DurationSeconds`-Parameters der `AssumeRoleWithSAML`-API).

Um dieses Attribut verwenden zu können, müssen Sie den SAML-Anbieter so konfigurieren, dass er Single Sign-On-Zugriff auf den Web-Endpunkt für die Anmeldung AWS-Managementkonsole über die Konsole unter ermöglicht. `https://region-code.signin.aws.amazon.com/saml` [Eine Liste möglicher *region-code* Werte finden Sie in AWS der Spalte **Region unter Anmelde-Endpunkte**.](https://docs.aws.amazon.com/general/latest/gr/signin-service.html) Optional können Sie die folgende URL verwenden: `https://signin.aws.amazon.com/static/saml`. Beachten Sie, dass dieses Attribut nur Sitzungen in der AWS-Managementkonsole verlängert. Es kann nicht die Lebensdauer anderer Anmeldeinformationen verlängern. Wenn es jedoch in einem `AssumeRoleWithSAML`-API-Aufruf vorhanden ist, kann es verwendet werden, um die Dauer der Sitzung zu *verkürzen*. Die standardmäßige Gültigkeitsdauer der vom Aufruf zurückgegebenen Anmeldeinformationen beträgt 60 Minuten. 

Beachten Sie außerdem: Wenn auch ein `SessionNotOnOrAfter`-Attribut definiert ist, bestimmt der ***niedrigere*** Wert der beiden Attribute, `SessionDuration` oder `SessionNotOnOrAfter`, die maximale Dauer der Konsolensitzung.

Wenn Sie Konsolensitzungen mit einer erweiterten Dauer aktivieren, steigt das Risiko, dass die Sicherheit der Anmeldeinformationen gefährdet wird. Um dieses Risiko zu minimieren, können Sie die aktiven Konsolensitzungen für jede Rolle direkt deaktivieren, indem Sie **Revoke Sessions** auf der Seite **Role Summary** in der IAM-Konsole wählen. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen der IAM-Rolle widerrufen](id_roles_use_revoke-sessions.md). 

**Wichtig**  
Beim Wert des `Name`-Attributs im `Attribute`-Tag ist die Groß-/Kleinschreibung zu beachten. Er muss ganz genau auf `https://aws.amazon.com/SAML/Attributes/SessionDuration` festgelegt werden.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/SessionDuration">
  <AttributeValue>1800</AttributeValue>
</Attribute>
```

## `SourceIdentity`-SAML-Attribut
<a name="saml_sourceidentity"></a>

(Optional) Sie können ein `Attribute`-Element verwenden, bei dem das `Name`-Attribut auf `https://aws.amazon.com/SAML/Attributes/SourceIdentity` festgelegt ist. Dieses Element enthält ein `AttributeValue`-Element, das einen Identifikator für die Person oder Anwendung bereitstellt, die eine IAM-Rolle verwendet. [Der Wert für die Quellidentität bleibt bestehen, wenn Sie die SAML-Sitzung verwenden, um eine andere Rolle zu übernehmen, was als Rollenverkettung AWS bezeichnet wird.](id_roles.md#iam-term-role-chaining) Der Wert für die Quellidentität ist in der Anforderung für jede Aktion vorhanden, die während der Rollensitzung ausgeführt wird. Der festgelegte Wert kann während der Rollensitzung nicht geändert werden. Administratoren können dann AWS CloudTrail Protokolle verwenden, um die Quellidentitätsinformationen zu überwachen und zu prüfen, um festzustellen, wer Aktionen mit gemeinsam genutzten Rollen ausgeführt hat.

Der Wert des `AttributeValue`-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: **. , \$1 = @ -** (Bindestrich). Er darf keine Leerzeichen enthalten. Der Wert ist normalerweise ein Attribut, das dem Benutzer zugeordnet ist, z. B. eine Benutzer-ID (`john`) oder eine E-Mail-Adresse (`johndoe@example.com`) enthalten. Er sollte kein Wert sein, der ein Leerzeichen enthält, wie etwa der Anzeigename eines Benutzers (`John Doe`). Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).

**Wichtig**  
Wenn Ihre SAML-Zusicherung für die Verwendung des [`SourceIdentity`](#saml_sourceidentity)-Attributs konfiguriert ist, muss Ihre Vertrauensrichtlinie auch die `sts:SetSourceIdentity`-Aktion enthalten. Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).

Um ein Quellidentitätsattribut zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert der Quellidentität angibt. Um zum Beispiel die Quellidentität `Diego` zu übergeben, verwenden Sie das folgende Attribut.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/SourceIdentity">
  <AttributeValue>Diego</AttributeValue>
```

## Zuordnung von SAML-Attributen zu AWS vertrauenswürdigen Policy-Kontextschlüsseln
<a name="saml-attribute-mapping"></a>

Die Tabellen in diesem Abschnitt enthalten häufig genutzte SAML-Attribute und deren Zuordnung zu Bedingungskontextschlüsseln von Vertrauensrichtlinien in AWS. Mit diesen Schlüsseln können Sie den Zugriff auf eine Rolle steuern. Vergleichen Sie dazu die Schlüssel mit den Werten, die in den eine SAML-Zugriffsanforderung begleitenden Zusicherungen enthalten sind.

**Wichtig**  
Diese Schlüssel sind nur in IAM-Vertrauensrichtlinien verfügbar (Richtlinien, die bestimmen, wer eine Rolle übernehmen kann) und gelten nicht für Berechtigungsrichtlinien.

In der Tabelle mit den eduPerson- und eduOrg-Attributen werden Werte entweder als Zeichenfolgen oder als Listen von Zeichenfolgen eingegeben. Bei Zeichenfolgenwerten können Sie diese Werte in IAM-Vertrauensrichtlinien mithilfe der `StringEquals`- oder der `StringLike`-Bedingung testen. Bei Werten, die eine Liste von Zeichenfolgen enthalten, können Sie die `ForAnyValue`- und `ForAllValues` [-Richtlinienmengenoperatoren](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys) verwenden, um die Werte in Vertrauensrichtlinien zu testen.

**Anmerkung**  
Sie sollten nur einen Anspruch pro AWS Kontextschlüssel angeben. Wenn Sie mehr als einen Anspruch einfügen, wird nur ein einziger Anspruch zugeordnet. 

In der folgenden Tabelle werden die eduPerson- und eduOrg-Attribute angezeigt.


| eduPerson- oder eduOrg-Attribut (`Name`-Schlüssel) | Ordnet diesem AWS Kontextschlüssel (`FriendlyName`Schlüssel) zu | Typ | 
| --- | --- | --- | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.1`   |   `eduPersonAffiliation`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.2`   |   `eduPersonNickname`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.3`   |   `eduPersonOrgDN`   |  Zeichenfolge  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.4`   |   `eduPersonOrgUnitDN`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.5`   |   `eduPersonPrimaryAffiliation`   |  Zeichenfolge  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.6`   |   `eduPersonPrincipalName`   |  Zeichenfolge  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.7`   |   `eduPersonEntitlement`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.8`   |   `eduPersonPrimaryOrgUnitDN`   |  Zeichenfolge  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.9`   |   `eduPersonScopedAffiliation`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.10`   |   `eduPersonTargetedID`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.1.1.11`   |   `eduPersonAssurance`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.2.1.2`   |   `eduOrgHomePageURI`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.2.1.3`   |   `eduOrgIdentityAuthNPolicyURI`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.2.1.4`   |   `eduOrgLegalName`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.2.1.5`   |   `eduOrgSuperiorURI`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:1.3.6.1.4.1.5923.1.2.1.6`   |   `eduOrgWhitePagesURI`   |  Liste von Zeichenfolgen  | 
|   `urn:oid:2.5.4.3`   |   `cn`   |  Liste von Zeichenfolgen  | 

In der folgenden Tabelle sind die Active-Directory-Attribute aufgeführt.


| AD-Attribut | Ordnet diesem AWS Kontextschlüssel zu | Typ | 
| --- | --- | --- | 
|  `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`  |  `name`  |  Zeichenfolge  | 
|  `http://schemas.xmlsoap.org/claims/CommonName`  |  `commonName`  |  Zeichenfolge  | 
|  `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname`  |  `givenName`  |  Zeichenfolge  | 
|  `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname`  |  `surname`  |  Zeichenfolge  | 
|  `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`  |  `mail`  |  Zeichenfolge  | 
|  `http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid`  |  `uid`  |  Zeichenfolge  | 

In der folgenden Tabelle werden die X.500-Attribute aufgeführt.


| X.500-Attribut | Ordnet diesem AWS Kontextschlüssel zu | Typ | 
| --- | --- | --- | 
|  `2.5.4.3`  |  `commonName`  |  Zeichenfolge  | 
|  `2.5.4.4`  |  `surname`  |  Zeichenfolge  | 
|  `2.4.5.42`  |  `givenName`  |  Zeichenfolge  | 
|  `2.5.4.45`  |  `x500UniqueIdentifier`  |  Zeichenfolge  | 
|  `0.9.2342.19200300100.1.1`  |  `uid`  |  Zeichenfolge  | 
|  `0.9.2342.19200300100.1.3`  |  `mail`  |  Zeichenfolge  | 
|  `0.9.2342.19200300.100.1.45`  |  `organizationStatus`  |  Zeichenfolge  |