Prerequisiti Creare e gestire un provider di identità SAML IAM (console)Creare e gestire un provider di identità SAML IAM (AWS CLI)Creare e gestire un provider di identità SAML IAM (API AWS)Passaggi successivi

Creare un provider di identità SAML in IAM

Un provider di identità SAML 2.0 IAM è un'entità in IAM che descrive un servizio del provider di identità (IdP) esterno che supporta lo standard SAML 2.0 (Security Assertion Markup Language 2.0). Puoi utilizzare un provider di identità IAM per stabilire una relazione di attendibilità fra un provider di identità compatibile con SAML, come ad esempio Shibboleth o Active Directory Federation Services, e AWS, in modo che gli utenti della tua organizzazione possano accedere alle risorse AWS. I provider di identità SAML IAM vengono utilizzati come principali nelle policy di attendibilità IAM.

Per ulteriori informazioni su questo scenario, consulta Federazione SAML 2.0.

Puoi creare e gestire un provider di identità IAM nella AWS Management Console o con la AWS CLI, Tools for Windows PowerShell o le chiamate API AWS.

Una volta creato un provider SAML, dovrai creare uno o più ruoli IAM. Un ruolo è un'identità in AWS che non dispone di credenziali proprie (a differenza di un utente). Tuttavia, in questo contesto, un ruolo viene assegnato in modo dinamico a un utente federato autenticato dall'IdP dell'organizzazione. Il ruolo consente al provider di identità dell'organizzazione di richiedere credenziali di sicurezza provvisorie per l'accesso a AWS. Le policy assegnate al ruolo determinano le autorizzazioni concesse agli utenti federati in AWS. Per creare un ruolo per una federazione SAML consultare Creare un ruolo per un provider di identità di terza parte (federazione).

Infine, una volta creato il ruolo, puoi completare l'attendibilità SAML configurando l'IdP con informazioni su AWS e sui ruoli che intendi assegnare agli utenti federati. Questa operazione viene definita configurazione di una relazione di trust fra IdP e AWS. Per configurare una relazione di trust, consultare Configurare il provider di identità SAML 2.0 con una relazione di attendibilità della parte affidabile e aggiunta di attestazioni.

Argomenti

Prerequisiti

Prima di creare un provider di identità SAML, è necessario disporre delle seguenti informazioni dal proprio IdP.

Scarica il documento di metadati SAML dal tuo IdP. Questo documento include il nome dell'approvatore, le informazioni sulla scadenza e le chiavi che possono essere utilizzate per convalidare la risposta di autenticazione SAML (asserzioni) che vengono ricevute dal provider di identità. Per generare il documento di metadati, utilizza il software di gestione delle identità fornito dall'IdP esterno.

Importante
Questo file di metadati include il nome dell'approvatore, le informazioni sulla scadenza e le chiavi che possono essere utilizzate per convalidare la risposta di autenticazione SAML (asserzioni) ricevute dal provider di identità. Il file di metadati deve essere codificati in formato UTF-8, senza BOM (Byte Order Mark). Per rimuovere il BOM, codifica i file come UTF-8 utilizzando un editor di testi come ad esempio Notepad++.
Il certificato x.509 incluso come parte del documento di metadati SAML deve utilizzare una chiave di almeno 1024 bit. Inoltre, il certificato x.509 deve essere privo di eventuali estensioni ripetute. È possibile utilizzare le estensioni, ma possono essere visualizzate una sola volta nel certificato. Se il certificato x.509 non soddisfa nessuna delle due condizioni, la creazione dell'IdP ha esito negativo e restituisce l'errore "Unable to parse metadata".
Come definito dal profilo di interoperabilità dei metadati SAML V2.0 versione 1.0, IAM non valuta né interviene in merito alla scadenza del certificato X.509 del documento di metadati.

Per istruzioni su come configurare molti dei provider di identità disponibili per AWS e per informazioni su come generare il documento dei metadati SAML richiesto, consultare Integrazione di provider di soluzioni SAML di terze parti con AWS.

Per assistenza sulla federazione SAML, consulta Risoluzione dei problemi della federazione SAML.

Creare e gestire un provider di identità SAML IAM (console)

Puoi utilizzare la AWS Management Console per creare, aggiornare e eliminare provider di identità SAML IAM. Per assistenza sulla federazione SAML, consulta Risoluzione dei problemi della federazione SAML.

Come creare un provider di identità SAML IAM (console)

Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegli Provider di identità, quindi seleziona Aggiungi provider.
Per Configura provider, scegli SAML.
Digitare un nome per il provider di identità.
In Documento metadati, fai clic su Scegli file e specifica il documento di metadati SAML scaricato in Prerequisiti.
(Facoltativo) Per Add tags (Aggiungi tag), è possibile aggiungere coppie di valore-chiave per facilitare l'identificazione e l'organizzazione degli IdP. È inoltre possibile utilizzare i tag per controllare l'accesso alle risorse AWS. Per ulteriori informazioni sull'applicazione di tag ai provider di identità SAML, vedere Aggiungere tag ai provider di identità SAML per IAM.

Selezionare Aggiungi tag. Immetti i valori per ogni coppia chiave-valore del tag.
Controlla le informazioni inserite. Quando hai finito, scegli Aggiungi provider.
Assegna un ruolo IAM al tuo provider di identità. Questo ruolo assegna alle identità utente esterne gestite dal provider di identità le autorizzazioni per accedere alle risorse AWS dell'account. Per ulteriori informazioni sulla creazione di ruoli per la federazione delle identità, consulta Creare un ruolo per un provider di identità di terza parte (federazione).

Nota
Gli IDP SAML utilizzati in una policy di attendibilità dei ruoli devono appartenere allo stesso account in cui si trova il ruolo.

Per eliminare un provider SAML (console)

Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione, scegli Identity providers (Provider di identità).
Seleziona la casella di controllo accanto al provider di identità che desideri eliminare.
Scegli Elimina. Viene visualizzata una nuova finestra.
Conferma che desideri eliminare il provider digitando la parola delete nel campo. Quindi, scegli Elimina.

Creare e gestire un provider di identità SAML IAM (AWS CLI)

Puoi utilizzare la AWS CLI per creare, aggiornare ed eliminare i provider SAML. Per assistenza sulla federazione SAML, consulta Risoluzione dei problemi della federazione SAML.

Come creare un provider di identità IAM e caricare un documento di metadati (AWS CLI)

Eseguire il comando: aws iam create-saml-provider

Come eliminare un provider di identità SAML IAM (AWS CLI)

(Facoltativo) Per elencare le informazioni di tutti i provider (ad esempio l'ARN, la data di creazione e la scadenza), eseguire il seguente comando:
- aws iam list-saml-providers
(Facoltativo) Per ottenere informazioni su un provider specifico (ad esempio l'ARN, la data di creazione, la scadenza, le impostazioni di crittografia e le informazioni sulla chiave privata), esegui il seguente comando:
- aws iam get-saml-provider
Per eliminare un provider di identità IAM, esegui il comando:
- aws iam delete-saml-provider

Creare e gestire un provider di identità SAML IAM (API AWS)

Puoi utilizzare l'API AWS per creare, aggiornare ed eliminare i provider SAML. Per assistenza sulla federazione SAML, consulta Risoluzione dei problemi della federazione SAML.

Come creare un provider di identità IAM e caricare un documento di metadati (API AWS)

Richiamare l'operazione: CreateSAMLProvider

Per aggiornare un provider di identità SAML IAM (API AWS)

Richiamare l'operazione: UpdateSAMLProvider

Come aggiungere i tag a un provider di identità IAM (API AWS)

Richiamare l'operazione: TagSAMLProvider

Come elencare i tag per un provider di identità IAM esistente (API AWS)

Richiamare l'operazione: ListSAMLProviderTags

Come rimuovere i tag da un provider di identità IAM esistente (API AWS)

Richiamare l'operazione: UntagSAMLProvider

Come eliminare un provider di identità IAM (API AWS)

(Facoltativo) Per elencare le informazioni di tutti gli IdP (ad esempio l'ARN, la data di creazione e la scadenza), richiamare la seguente operazione:
- ListSAMLProviders
(Facoltativo) Per ottenere informazioni su un provider specifico (ad esempio l'ARN, la data di creazione, la data di scadenza, le impostazioni di crittografia e le informazioni sulla chiave privata), esegui il seguente comando:
- GetSAMLProvider
Per eliminare un IdP, richiamare la seguente operazione:
- DeleteSAMLProvider

Passaggi successivi

Dopo aver creato un provider di identità SAML, configura l'attendibilità della parte con il tuo IdP. È inoltre possibile utilizzare le attestazioni della risposta di autenticazione del tuo IdP nelle policy per controllare l'accesso a un ruolo.

Informa l'IdP su AWS come provider di servizi. Questa relazione è nota come relazione di attendibilità tra il provider di identità e AWS. L'esatto processo per aggiungere una relazione di trust dipende dall'IdP utilizzato. Per informazioni dettagliate, consultare Configurare il provider di identità SAML 2.0 con una relazione di attendibilità della parte affidabile e aggiunta di attestazioni.
Quando il provider di identità invia la risposta contenente le attestazioni ad AWS, molte delle attestazioni in arrivo si associano alle chiavi di contesto AWS. Puoi utilizzare queste chiavi di contesto nelle policy IAM utilizzando l'elemento Condition per controllare l'accesso a un ruolo. Per maggiori dettagli, consulta Configurare le asserzioni SAML per la risposta di autenticazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Federazione SAML 2.0

Configurare l'attendibilità e le rivendicazioni della parte affidante