本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用依賴方信任設定您的 SAML 2.0 IdP 並新增宣告 當您為 SAML 存取權建立 IAM 身分提供者和角色時,基本上是在告知 AWS 有關允許身分提供者 (IdP) 和其使用者執行哪些動作。您的下一個步驟是告知 IdP AWS 作為服務提供者。這稱為在 IdP 和 * 之間新增*依賴方信任 AWS。新增依賴方信任的過程,取決於您使用哪種 IdP。如需詳細資訊,請參閱身分管理軟體的文件。 許多 IdP 都可以讓您指定 URL,以供 IdP 從其讀取包含依賴方資訊和憑證的 XML 文件。對於 AWS,請使用登入端點 URL。下列範例展示了包含選用 `region-code` 的 URL 格式。 `https://region-code.signin.aws.amazon.com/static/saml-metadata.xml` 如果需要 SAML 加密,URL 必須包含 AWS 指派給 SAML 供應商的唯一識別符,您可以在身分提供者詳細資訊頁面上找到該識別符。下列範例展示了包含唯一識別碼的區域登入 URL。 `https://region-code.signin.aws.amazon.com/static/saml/IdP-ID/saml-metadata.xml` 對於可能的 *region-code* 值清單,請參閱 [AWS 登入端點](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)中的 **Region** (區域) 欄位。對於 AWS 值,您也可以使用非區域端點 `https://signin.aws.amazon.com/saml`。 如果您無法直接指定 URL,請從先前的 URL 下載 XML 文件,然後匯入到您的 IdP 軟體。 您也需要在 IdP 中建立適當的宣告規則,將 指定 AWS 為依賴方。當 IdP 將 SAML 回應傳送至 AWS 端點時,它會包含包含一或多個*宣告*的 SAML *聲明*。宣告是和使用者及其群組相關的資訊。宣告規則將該資訊對應到 SAML 屬性。這可讓您確保來自 IdP 的 SAML 身分驗證回應包含 IAM 政策 AWS 中使用的必要屬性,以檢查 SAML 聯合身分主體的許可。如需詳細資訊,請參閱下列主題: + [允許 SAML 聯合存取 AWS 資源的角色概觀](id_roles_providers_saml.md#CreatingSAML-configuring-role)。此主題討論在 IAM 政策中使用 SAML 特定金鑰,以及如何使用這些政策來限制 SAML 聯合身分主體的許可。 + [為身分驗證回應設定 SAML 聲明](id_roles_providers_create_saml_assertions.md). 此主題討論如何設定 SAML 宣告,其包含有關使用者的資訊。聲明已捆綁在 SAML 聲明中,並且包含在傳送到 AWS的 SAML 回應中。您必須確保 AWS 政策所需的資訊以 AWS 可識別和使用的形式包含在 SAML 聲明中。 + [將第三方 SAML 解決方案供應商與 整合 AWS](id_roles_providers_saml_3rd-party.md)。 本主題提供第三方組織提供有關如何整合身分解決方案的文件連結 AWS。 **注意** 若要改善聯合彈性,建議您將 IdP 和 AWS 聯合設定為支援多個 SAML 登入端點。如需詳細資訊,請參閱 AWS 安全部落格文章[如何使用區域 SAML 端點進行容錯移轉](https://aws.amazon.com/blogs//security/how-to-use-regional-saml-endpoints-for-failover)。