Configurare il provider di identità SAML 2.0 con una relazione di attendibilità della parte affidabile e aggiunta di attestazioni

Quando crei un provider di identità IAM e un ruolo per l'accesso SAML, indichi ad AWS il provider di identità (IdP) esterno e le operazioni che i rispettivi utenti sono autorizzati a effettuare. Il passaggio successivo consiste nell'indicare AWS all'IdP come fornitore di servizi. Questa relazione è nota come relazione di trust tra il provider di identità e AWS. L'esatto processo per aggiungere una relazione di trust dipende dall'IdP utilizzato. Per ulteriori informazioni, consulta la documentazione relativa al tuo software di gestione delle identità.

Molti provider di identità permettono di specificare un URL da cui è possibile leggere un documento XML con informazioni su certificati e parti attendibili. Per AWS, usa l'URL dell'endpoint di accesso. Nell'esempio seguente viene illustrato il formato per l'URL con il region-code facoltativo.

https://region-code.signin.aws.amazon.com/static/saml-metadata.xml

Se è richiesta la crittografia SAML, l'URL deve includere l'identificatore univoco che AWS assegna al provider SAML, che puoi trovare nella pagina dei dettagli del provider di identità. L'esempio seguente mostra un URL di accesso regionale che include un identificatore univoco.

https://region-code.signin.aws.amazon.com/static/saml/IdP-ID/saml-metadata.xml

Per un elenco dei possibili valori di region-code, consulta la colonna Region (Regione) in Endpoint di accesso AWS. Per il valore AWS, puoi anche utilizzare l'endpoint non regionale https://signin.aws.amazon.com/saml.

Se non è possibile specificare direttamente un URL, scaricare il documento XML dall'URL precedente e importarlo nel software dell'IdP.

È inoltre necessario creare regole di attestazione appropriate nel proprio IdP che specificano AWS come parte attendibile. Quando il provider di identità invia una risposta SAML agli endpoint AWS, include un'asserzione SAML che contiene una o più attestazioni. Un'attestazione consiste in un set di informazioni sull'utente e sui rispettivi gruppi. Una regola di attestazione mappa tali informazioni negli attributi SAML. In questo modo, puoi assicurarti che le risposte di autenticazione SAML del provider di identità contengano gli attributi necessari utilizzati da AWS nelle policy IAM per verificare le autorizzazioni per i principali federati SAML. Per ulteriori informazioni, consulta i seguenti argomenti:

Panoramica del ruolo per permettere l'accesso federato SAML alle risorse AWS. In questo argomento viene descritto l'uso di chiavi specifiche SAML nelle policy IAM e le modalità di utilizzo per limitare le autorizzazioni per i principali federati SAML.
Configurare le asserzioni SAML per la risposta di autenticazione. In questo argomento viene descritto come configurare le attestazioni SAML che includono informazioni sull'utente. Le attestazioni sono raggruppate in un'asserzione SAML e incluse nella risposta SAML inviata ad AWS. Devi accertarti che le informazioni richieste dalle policy AWS siano incluse nell'asserzione SAML in un formato riconoscibile e utilizzabile da AWS.
Integrazione di provider di soluzioni SAML di terze parti con AWS. In questo argomento sono disponibili collegamenti alla documentazione fornita da organizzazioni di terze parti su come integrare le soluzioni di identità con AWS.

Nota

Per migliorare la resilienza della federazione, ti consigliamo di configurare l'IdP e la federazione AWS per supportare più endpoint di accesso SAML. Per ulteriori dettagli, consulta l'articolo del blog AWS sulla sicurezza Come utilizzare gli endpoint SAML regionali per il failover.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creare un provider di identità SAML

Integrazione di provider di soluzioni SAML di terze parti con AWS