SAML 2.0-Verbund - AWS Identity and Access Management
Verwenden des SAML-basierten Verbunds für API-Zugriff auf AWSÜberblick über die Konfiguration des SAML 2.0-basierten VerbundsÜbersicht über die Rolle, um Federated-SAML-Zugriff auf Ihre AWS-Ressourcen zuzulassenEindeutige Identifizierung von Benutzern im SAML-basierten Verbund

SAML 2.0-Verbund

AWS unterstützt den Identitätsverbund mit SAML 2.0 (Security Assertion Markup Language 2.0), einem offenen Standard, den viele Identitätsanbieter verwenden. Dieses Feature ermöglicht Single Sign-On (SSO) für den Verbund, sodass sich Benutzer bei der AWS-Managementkonsole anmelden oder AWS-API-Operationen aufrufen können, ohne dass Sie für jeden in Ihrer Organisation einen IAM-Benutzer erstellen müssen. Durch die Verwendung von SAML lässt sich das Konfigurieren des Verbunds mit AWS vereinfachen, da Sie den Service des Identitätsanbieters verwenden können, anstatt benutzerdefinierten Identitäts-Proxy-Code zu schreiben.

Anmerkung

Der IAM-SAML-Identitätsverbund unterstützt verschlüsselte SAML-Antworten von SAML-basierten Verbund-Identitätsanbietern (IDPs). IAM Identity Center und Amazon Cognito unterstützen keine verschlüsselten SAML-Assertionen von IAM-SAML-Identitätsanbietern.

Sie können indirekt Unterstützung für verschlüsselte SAML-Assertionen zum Amazon-Cognito-Identitätspool-Verbund mit Amazon-Cognito-Benutzerpools hinzufügen. Benutzerpools verfügen über einen SAML-Verbund, der unabhängig vom IAM-SAML-Verbund ist und SAML-Signatur und -Verschlüsselung unterstützt. Obwohl dieses Feature nicht direkt auf Identitätspools anwendbar ist, können Benutzerpools IDPs für Identitätspools sein. Um SAML-Verschlüsselung mit Identitätspools zu verwenden, fügen Sie einem Benutzerpool, der ein IdP für einen Identitätspool ist, einen SAML-Anbieter mit Verschlüsselung hinzu.

Ihr SAML-Anbieter muss in der Lage sein, SAML-Assertionen mit einem von Ihrem Benutzerpool bereitgestellten Schlüssel zu verschlüsseln. Benutzerpools akzeptieren keine Assertionen, die mit einem von IAM bereitgestellten Zertifikat verschlüsselt sind.

Der IAM-Verbund unterstützt die folgenden Anwendungsfälle:

Themen

Verwenden des SAML-basierten Verbunds für API-Zugriff auf AWS

Gehen wir davon aus, Sie möchten Mitarbeitern die Möglichkeit bieten, Daten von ihren Computern in einen Sicherungsordner zu kopieren. Sie erstellen eine Anwendung, die Benutzer auf ihrem Computer ausführen können. Im Backend liest und schreibt die Anwendung Objekte in einem Amazon-S3-Bucket. Benutzer haben keinen direkten Zugriff auf AWS. Stattdessen wird der folgende Prozess verwendet:

Abrufen temporärer Sicherheitsanmeldeinformationen basierend auf einer SAML-Zusicherung

  1. Ein Benutzer in Ihrer Organisation verwendet eine Client-App, um eine Authentifizierung vom Identitätsanbieter Ihrer Organisation anzufordern.

  2. Der Identitätsanbieter authentifiziert den Benutzer anhand des Identitätsspeichers Ihrer Organisation.

  3. Der Identitätsanbieter konstruiert eine SAML-Zusicherung mit Informationen über den Benutzer und sendet die Zusicherung an die Client-App. Wenn Sie die SAML-Verschlüsselung für Ihren IAM-SAML-IdP aktivieren, wird diese Assertion von Ihrem externen IdP verschlüsselt.

  4. Die Client-App ruft die AWS STS-AssumeRoleWithSAML-API auf und übergibt die ARN des SAML-Anbieters, die ARN der zu übernehmenden Rolle und die SAML-Zusicherung vom Identitätsanbieter. Wenn die Verschlüsselung aktiviert ist, bleibt die durch die Client-App übermittelte Assertion während der Übertragung verschlüsselt.

  5. (Optional) AWS STS verwendet den privaten Schlüssel, den Sie von Ihrem externen IdP hochgeladen haben, um die verschlüsselte SAML-Assertion zu entschlüsseln.

  6. Die API-Antwort an die Client-App umfasst temporäre Sicherheitsanmeldeinformationen.

  7. Die Client-App verwendet die temporären Sicherheitsanmeldeinformationen, um Amazon S3-API-Operationen aufzurufen.

Überblick über die Konfiguration des SAML 2.0-basierten Verbunds

Bevor Sie den SAML 2.0-basierten Verbund wie im vorhergehenden Szenario und Diagramm beschrieben verwenden können, müssen Sie den Identitätsanbieter Ihrer Organisation und Ihr AWS-Konto so konfigurieren, dass sie sich gegenseitig vertrauen. Der allgemeine Prozess für die Konfiguration dieses Vertrauens wird in den folgenden Schritten beschrieben. Innerhalb Ihrer Organisation müssen Sie einen Identitätsanbieter haben, der SAML 2.0 unterstützt, wie Microsoft Active Directory Federation Service (AD FS, Teil von Windows Server), Shibboleth oder einen anderen kompatiblen SAML 2.0-Anbieter.

Anmerkung

Um die Verbundstabilität zu verbessern, empfehlen wir, dass Sie Ihren IdP und Ihren AWS-Verbund so konfigurieren, dass mehrere SAML-Anmeldeendpunkte unterstützt werden. Einzelheiten finden Sie im AWS-Sicherheitsblogartikel How to use regional SAML endpoints for failover.

IdP und AWS so konfigurieren, dass sie sich gegenseitig vertrauen

  1. Registrieren Sie AWS als Serviceanbieter (SP) bei dem Identitätsanbieter Ihrer Organisation. Verwenden Sie das SAML-Metadatendokument von https://region-code.signin.aws.amazon.com/static/saml-metadata.xml

    Eine Liste möglicher Werte für region-code finden Sie in der Spalte Region unter AWS Sign-In endpoints (-Anmelde-Endpunkte).

    Optional können Sie das SAML-Metadatendokument von https://signin.aws.amazon.com/static/saml-metadata.xml verwenden.

  2. Mithilfe des Identitätsanbieters Ihrer Organisation erstellen Sie eine entsprechende SAML-Metadaten-XML-Datei, die Ihren Identitätsanbieter als IAM-Identitätsanbieter in AWS beschreibt. Sie muss den Aussteller-Namen, ein Erstellungsdatum, ein Ablaufdatum und Schlüssel enthalten, die AWS verwenden kann, um Authentifizierungsantworten (Zusicherungen) von Ihrer Organisation zu überprüfen.

    Wenn Sie das Senden verschlüsselter SAML-Assertionen von Ihrem externen IdP zulassen, müssen Sie mit dem IdP Ihrer Organisation eine private Schlüsseldatei generieren und diese Datei im PEM-Dateiformat in Ihre IAM-SAML-Konfiguration hochladen. AWS STS benötigt diesen privaten Schlüssel, um SAML-Antworten zu entschlüsseln, die dem von Ihrem IdP hochgeladenen öffentlichen Schlüssel entsprechen.

    Anmerkung

    Gemäß der Definition im SAML V2.0 Metadata Interoperability Profile Version 1.0 bewertet IAM das Ablaufdatum von X.509-Zertifikaten in SAML-Metadatendokumenten nicht und ergreift auch keine Maßnahmen diesbezüglich. Wenn Sie Bedenken hinsichtlich abgelaufener X.509-Zertifikate haben, empfehlen wir Ihnen, die Ablaufdaten der Zertifikate zu überwachen und die Zertifikate gemäß den Governance- und Sicherheitsrichtlinien Ihrer Organisation zu rotieren.

  3. In der IAM-Konsole erstellen Sie einen SAML-Identitätsanbieter. Als Teil dieses Prozesses laden Sie das SAML-Metadatendokument und den privaten Entschlüsselungsschlüssel hoch, der vom IdP in Ihrer Organisation in Schritt 2 erstellt wurde. Weitere Informationen finden Sie unter Erstellen eines SAML-Identitätsanbieters in IAM.

  4. In IAM erstellen Sie eine oder mehrere IAM-Rollen. In der Vertrauensrichtlinie der Rolle legen Sie den SAML-Anbieter als Auftraggeber fest, der eine Vertrauensbeziehung zwischen Ihrer Organisation und herstellt AWS. Die Berechtigungsrichtlinie der Rolle legt fest, wozu die Benutzer in Ihrer Organisation in berechtigt sind AWS. Weitere Informationen finden Sie unter Erstellen einer Rolle für einen externen Identitätsanbieter .

    Anmerkung

    SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

  5. Im Identitätsanbieter Ihrer Organisation definieren Sie Zusicherungen, in denen Benutzer oder Gruppen in Ihrer Organisation den IAM-Rollen zugeordnet werden. Beachten Sie, dass unterschiedliche Benutzer und Gruppen in Ihrer Organisation unterschiedlichen IAM-Rollen zugeordnet werden können. Die genauen Schritte zur Durchführung des Mappings hängen davon ab, welche Identitätsanbieter Sie verwenden. Im früheren Szenario eines Amazon S3-Ordners für Benutzer ist es möglich, dass alle Benutzer derselben Rolle zugeordnet werden, die Amazon S3-Berechtigungen bieten. Weitere Informationen finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion.

    Wenn Ihr Identitätsanbieter SSO an der AWS-Konsole ermöglicht, können Sie die maximale Dauer der Konsolensitzungen konfigurieren. Weitere Informationen finden Sie unter Aktivieren des AWS-Managementkonsole-Zugriffs für SAML 2.0-Verbundprinzipale.

  6. In der Anwendung, die Sie erstellen, rufen Sie die AWS Security Token Service-AssumeRoleWithSAML-API auf, übergeben die ARN des SAML-Anbieters, die Sie in Schritt 3 erstellt haben, die ARN der zu übernehmenden Rolle, die Sie in Schritt 4 erstellt haben, und die SAML-Zusicherung über den aktuellen Benutzer, die Sie von Ihrem Identitätsanbieter erhalten. AWS stellt sicher, dass die Anforderung zur Übernahme der Rolle vom Identitätsanbieter kommt, auf den im SAML-Provider verwiesen wird.

    Weitere Informationen finden Sie unter AssumeRoleWithSAML in der AWS Security Token Service-API-Referenz.

  7. Wenn die Anforderung erfolgreich ist, gibt die API eine Reihe temporärer Sicherheitsanmeldeinformationen zurück, die Ihre Anwendung verwenden kann, um signierte Anforderungen an AWS zu stellen. Ihre Anwendung hat Informationen über den aktuellen Benutzer und kann auf benutzerspezifische Ordner in Amazon S3 zugreifen, wie im vorherigen Szenario beschrieben.

Übersicht über die Rolle, um Federated-SAML-Zugriff auf Ihre AWS-Ressourcen zuzulassen

Die Rollen, die Sie in IAM erstellen, definieren, wozu SAML-Verbundprinzipale aus Ihrer Organisation in AWS berechtigt sind. Beim Erstellen der Vertrauensrichtlinie für die Rolle geben Sie den SAML-Anbieter an, die Sie zuvor als erstellt haben Principal. Darüber hinaus können Sie den Geltungsbereich der Vertrauensrichtlinie mithilfe einer Condition festlegen, sodass nur Benutzer, die bestimmte SAML-Attribute erfüllen, auf die Rolle zugreifen können. Sie können beispielsweise festlegen, dass nur Benutzer, deren SAML-Zugehörigkeit staff lautet (wie von https://openidp.feide.no bestätigt), Zugriff auf die Rolle haben, wie in der folgenden Musterrichtlinie gezeigt:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::111122223333:saml-provider/ExampleOrgSSOProvider"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {
      "StringEquals": {
        "saml:aud": "https://us-east-1.signin.aws.amazon.com/saml",
        "saml:iss": "https://openidp.feide.no"
      },
      "ForAllValues:StringLike": {"saml:edupersonaffiliation": ["staff"]}
    }
  }]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws-cn:iam::111122223333:saml-provider/ExampleOrgSSOProvider"
            },
            "Action": "sts:AssumeRoleWithSAML",
            "Condition": {
                "StringEquals": {
                    "saml:aud": "https://ap-east-1.signin.amazonaws.cn/saml",
                    "saml:iss": "https://openidp.feide.no"
                },
                "ForAllValues:StringLike": {
                    "saml:edupersonaffiliation": [
                        "staff"
                    ]
                }
            }
        }
    ]
}
Anmerkung

SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

Der Kontextschlüssel saml:aud in der Richtlinie gibt die URL an, die Ihr Browser bei der Anmeldung an der Konsole anzeigt. Diese Anmeldeendpunkt-URL muss mit dem SAML-Empfängerattribut Ihres Identitätsanbieters übereinstimmen. Sie können Anmelde-URLs in bestimmten Regionen angeben. AWS empfiehlt die Verwendung von regionalen Endpunkten anstelle des globalen Endpunkts, um die Ausfallsicherheit des Verbunds zu verbessern. Wenn Sie nur einen Endpunkt konfiguriert haben, können Sie sich in dem unwahrscheinlichen Fall, dass der Endpunkt nicht verfügbar ist, nicht im Verbund mit AWS verbinden. Eine Liste möglicher Werte für region-code finden Sie in der Spalte Region unter AWS Sign-In endpoints (-Anmelde-Endpunkte).

Das folgende Beispiel veranschaulicht das Format der Anmelde-URL mit dem optionalen region-code.

https://region-code.signin.aws.amazon.com/saml

Wenn eine SAML-Verschlüsselung erforderlich ist, muss die Anmelde-URL die eindeutige Kennung enthalten, die AWS Ihrem SAML-Anbieter zuweist. Diese finden Sie auf der Detailseite des Identitätsanbieters. Im folgenden Beispiel enthält die Anmelde-URL eine eindeutige Kennung des Identitätsanbieters, weshalb /acs/ an den Anmeldepfad angefügt werden muss.

https://region-code.signin.aws.amazon.com/saml/acs/IdP-ID

Für die Berechtigungsrichtlinie in der Rolle geben Sie Berechtigungen wie bei jeder anderen Rolle auch an. Wenn Benutzer aus Ihrer Organisation zum Beispiel Amazon Elastic Compute Cloud-Instances verwalten dürfen, müssen Sie Amazon EC2-Aktionen in der Berechtigungsrichtlinie explizit zulassen, z. B. solche in der AmazonEC2FullAccess verwalteten Richtlinie.

Weitere Informationen zu den SAML-Schlüsseln, die Sie in einer Richtlinie überprüfen können, finden Sie unter Verfügbare Schlüssel für SAML-basierten AWS STS-Verbund.

Eindeutige Identifizierung von Benutzern im SAML-basierten Verbund

Wenn Sie Zugriffsrichtlinien in IAM erstellen können, ist es häufig nützlich, wenn Berechtigungen basierend auf der Identität der Benutzer angegeben werden können. Für Benutzer, die mit SAML verbunden wurde, möchte eine Anwendung möglicherweise Informationen in Amazon S3 mit einer Struktur wie dieser behalten: 

amzn-s3-demo-bucket/app1/user1
amzn-s3-demo-bucket/app1/user2
amzn-s3-demo-bucket/app1/user3

Sie können den Bucket (amzn-s3-demo-bucket) und Ordner (app1) über die Amazon S3-Konsole oder die AWS CLI erstellen, da diese statische Werte sind. Die benutzerspezifischen Ordner (user1, user2, user3 etc.) müssen jedoch mithilfe von Code zur Laufzeit erstellt werden, da der Wert, der den Benutzer identifiziert, erst bekannt wird, wenn sich der Benutzer das erste Mal über den Verbundprozess anmeldet.

Um Richtlinien zu schreiben, die auf benutzerspezifische Details als Teil eines Ressourcennamens verweisen, muss die Identität des Benutzers in SAML-Schlüsseln verfügbar sein, die in Richtlinienbedingungen verwendet werden können. Die folgenden Schlüssel sind für SAML 2.0-basierten Verbund zur Verwendung in IAM-Richtlinien verfügbar. Sie können die von den folgenden Schlüsseln zurückgegebenen Werte verwenden, um eindeutige Benutzerkennungen für Ressourcen wie Amazon S3-Ordner zu erstellen.

  • saml:namequalifier. Ein Hash-Wert basierend auf der Verkettung des Issuer-Antwortwerts (saml:iss) und einer Zeichenfolge mit der AWS-Konto-ID und dem Anzeigenamen (der letzte Teil der ARN) des SAML-Anbieters in IAM. Die Verkettung der Konto-ID und des Anzeigenamens des SAML-Anbieters steht als der Schlüssel für IAM-Richtlinien zur Verfügung saml:doc. Die Konto-ID und der Name des Anbieters müssen durch ein '/' getrennt werden, wie in "123456789012/anbieter_name". Weitere Informationen finden Sie im saml:doc-Schlüssel unter Verfügbare Schlüssel für SAML-basierten AWS STS-Verbund.

    Die Kombination aus NameQualifier und Subject kann verwendet werden, um einen SAML-Verbundprinzipal eindeutig zu identifizieren. Die folgende Pseudocode zeigt, wie dieser Wert berechnet wird. In diesem Pseudocode bedeutet + eine Verkettung, SHA1 stellt eine Funktion dar, die einen Nachrichtendigest mit SHA-1 produziert, und Base64 stellt eine Funktion dar, die eine Base-64-codierte Version der Hash-Ausgabe produziert.

    Base64 ( SHA1 ( "https://example.com/saml" + "123456789012" + "/MySAMLIdP" ) )

    Weitere Informationen über die Richtlinienschlüssel, die für den SAML-Verbund verfügbar sind, finden Sie unter Verfügbare Schlüssel für SAML-basierten AWS STS-Verbund.

  • saml:sub (string). Dies ist der Betreff des Antrags, der einen Wert enthält, der einen einzelnen Benutzer innerhalb einer Organisation eindeutig identifiziert (zum Beispiel )., _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

  • saml:sub_type (string). Dieser Schlüssel kann persistent, transientoder die vollständige Format-URI aus den Subject- und NameID-Elementen sein, die in Ihrer SAML-Zusicherung verwendet wurden. Der Wert persistent gibt an, dass der Wert in saml:sub für einen Benutzer derselbe für alle Sessions ist. Wenn der Wert transient lautet, hat der Benutzer einen anderen saml:sub-Wert für jede Sitzung. Weitere Informationen zum NameID-Attribut des Format-Elements finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion.

Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die die oben genannten Schlüssel verwendet, um Berechtigungen für einen benutzerspezifischen Ordner in Amazon S3 zu gewähren. Die Richtlinie geht davon aus, dass die Amazon S3-Objekte mit einem Präfix identifiziert werden, das sowohl saml:namequalifier als auch saml:sub enthält. Beachten Sie, dass das Condition-Element einen Test umfasst, um sicherzustellen, dass saml:sub_type auf persistent festgelegt ist. Wenn er auf transient festgelegt ist, kann der saml:sub-Wert für den Benutzer für jede Sitzung unterschiedlich sein und die Kombination der Werte sollte nicht verwendet werden, um benutzerspezifische Ordner zu identifizieren.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}
JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}

Weitere Informationen zum Mapping von Zusicherungen aus dem Identitätsanbieter zu Richtlinienschlüsseln finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion.