

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SAML 2.0-Föderation
<a name="id_roles_providers_saml"></a>

AWS unterstützt den Identitätsverbund mit [SAML 2.0 (Security Assertion Markup Language 2.0)](https://wiki.oasis-open.org/security), einem offenen Standard, den viele Identitätsanbieter (IdPs) verwenden. Diese Funktion ermöglicht föderiertes Single Sign-On (SSO), sodass sich Benutzer bei den API-Vorgängen anmelden AWS-Managementkonsole oder AWS API-Operationen aufrufen können, ohne dass Sie für jeden in Ihrer Organisation einen IAM-Benutzer erstellen müssen. Durch die Verwendung von SAML können Sie den Prozess der Konfiguration von Federation mit vereinfachen AWS, da Sie den IdP-Dienst verwenden können, anstatt benutzerdefinierten Identitätsproxycode zu [schreiben](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html).

**Anmerkung**  
Der IAM-SAML-Identitätsverbund unterstützt verschlüsselte SAML-Antworten von SAML-based föderierten Identitätsanbietern (). IdPs IAM Identity Center und Amazon Cognito unterstützen keine verschlüsselten SAML-Assertionen von IAM-SAML-Identitätsanbietern.  
Sie können indirekt Unterstützung für verschlüsselte SAML-Assertionen zum Amazon-Cognito-Identitätspool-Verbund mit Amazon-Cognito-Benutzerpools hinzufügen. Benutzerpools verfügen über einen SAML-Verbund, der unabhängig vom IAM-SAML-Verbund ist und [SAML-Signatur und -Verschlüsselung](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-SAML-signing-encryption.html) unterstützt. Diese Funktion erstreckt sich zwar nicht direkt auf Identitätspools, Benutzerpools können sich jedoch auf Identitätspools beziehen. IdPs Um SAML-Verschlüsselung mit Identitätspools zu verwenden, fügen Sie einem Benutzerpool, der ein IdP für einen Identitätspool ist, einen SAML-Anbieter mit Verschlüsselung hinzu.  
Ihr SAML-Anbieter muss in der Lage sein, SAML-Assertionen mit einem von Ihrem Benutzerpool bereitgestellten Schlüssel zu verschlüsseln. Benutzerpools akzeptieren keine Assertionen, die mit einem von IAM bereitgestellten Zertifikat verschlüsselt sind.

Der IAM-Verbund unterstützt die folgenden Anwendungsfälle: 
+ [**Verbundzugriff, der es einem Benutzer oder einer Anwendung in Ihrer Organisation ermöglicht, AWS API-Operationen aufzurufen**](#CreatingSAML-configuring). Dieser Anwendungsfall wird im folgenden Abschnitt erläutert. Sie verwenden eine SAML-Zusicherung (als Teil der Authentifizierungsantwort), die in Ihrer Organisation generiert wird, um temporäre Sicherheitsanmeldeinformationen zu erhalten. Dieses Szenario ähnelt anderen Verbund-Szenarien, die von IAM unterstützt werden, wie diejenigen, die in [Temporäre Sicherheitsanmeldeinformationen anfordern](id_credentials_temp_request.md) und [OIDC-Verbund](id_roles_providers_oidc.md) beschrieben werden. SAML 2.0, das IdPs in Ihrer Organisation basiert, verarbeitet jedoch viele Details zur Laufzeit, um Authentifizierungs- und Autorisierungsprüfungen durchzuführen.
+ [**Web-basedSingle Sign-On (SSO) für den AWS-Managementkonsole von Ihrer Organisation**](id_roles_providers_enable-console-saml.md) aus. Benutzer können sich bei einem Portal in Ihrer Organisation anmelden, das von einem SAML 2.0-kompatiblen IdP gehostet wird, eine Option auswählen, zu der sie wechseln möchten AWS, und zur Konsole weitergeleitet werden, ohne zusätzliche Anmeldeinformationen angeben zu müssen. Sie können außerdem einen SAML-Identitätsanbieter eines Drittanbieters verwenden, um SSO-Zugriff auf die Konsole zu erhalten. Oder Sie können einen benutzerdefinierten Identitätsanbieter erstellen, um externen Benutzern Zugriff auf die Konsole zu gewähren. Weitere Informationen zum Erstellen eines benutzerdefinierten Identitätsanbieters finden Sie unter [Aktivieren Sie den benutzerdefinierten Identity Broker-Zugriff auf AWS Konsole](id_roles_providers_enable-console-custom-url.md).

**Topics**
+ [Verwenden Sie den Verbund für den API-Zugriff auf SAML-based AWS](#CreatingSAML-configuring)
+ [Überblick über die Konfiguration des SAML 2.0-basierten Verbunds](#CreatingSAML-configuring-IdP)
+ [Überblick über die Rolle, die den SAML-federated Zugriff auf Ihre AWS Ressourcen](#CreatingSAML-configuring-role)
+ [Eindeutige Identifizierung von Benutzern im Verbund SAML-based](#CreatingSAML-userid)
+ [Erstellen eines SAML-Identitätsanbieters in IAM](id_roles_providers_create_saml.md)
+ [Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen](id_roles_providers_create_saml_relying-party.md)
+ [Integrieren Sie SAML-Lösungsanbieter von Drittanbietern mit AWS](id_roles_providers_saml_3rd-party.md)
+ [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md)
+ [Aktivieren von SAML 2.0-Verbundprinzipalen für den Zugriff auf AWS-Managementkonsole](id_roles_providers_enable-console-saml.md)
+ [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md)

## Verwenden Sie den Verbund für den API-Zugriff auf SAML-based AWS
<a name="CreatingSAML-configuring"></a>

Gehen wir davon aus, Sie möchten Mitarbeitern die Möglichkeit bieten, Daten von ihren Computern in einen Sicherungsordner zu kopieren. Sie erstellen eine Anwendung, die Benutzer auf ihrem Computer ausführen können. Im Backend liest und schreibt die Anwendung Objekte in einem Amazon-S3-Bucket. Benutzer haben keinen direkten Zugriff auf AWS. Stattdessen wird der folgende Prozess verwendet:

![Abrufen temporärer Sicherheitsanmeldedaten auf der Grundlage einer SAML-Assertion.](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/saml-based-federation-diagram.png)


1. Ein Benutzer in Ihrer Organisation verwendet eine Client-App, um eine Authentifizierung vom Identitätsanbieter Ihrer Organisation anzufordern.

1. Der Identitätsanbieter authentifiziert den Benutzer anhand des Identitätsspeichers Ihrer Organisation.

1. Der Identitätsanbieter konstruiert eine SAML-Zusicherung mit Informationen über den Benutzer und sendet die Zusicherung an die Client-App. Wenn Sie die SAML-Verschlüsselung für Ihren IAM-SAML-IdP aktivieren, wird diese Assertion von Ihrem externen IdP verschlüsselt.

1. Die Client-App ruft die AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)API auf und übergibt den ARN des SAML-Anbieters, den ARN der zu übernehmenden Rolle und die SAML-Assertion von IdP. Wenn die Verschlüsselung aktiviert ist, bleibt die durch die Client-App übermittelte Assertion während der Übertragung verschlüsselt.

1. (Optional) AWS STS verwendet den privaten Schlüssel, den Sie von Ihrem externen IdP hochgeladen haben, um die verschlüsselte SAML-Assertion zu entschlüsseln.

1. Die API-Antwort an die Client-App umfasst temporäre Sicherheitsanmeldeinformationen.

1. Die Client-App verwendet die temporären Sicherheitsanmeldeinformationen, um Amazon S3-API-Operationen aufzurufen. 

## Überblick über die Konfiguration des SAML 2.0-basierten Verbunds
<a name="CreatingSAML-configuring-IdP"></a>

Bevor Sie den SAML 2.0-basierten Verbund wie im vorherigen Szenario und Diagramm beschrieben verwenden können, müssen Sie den IdP Ihrer Organisation und Sie so konfigurieren, dass AWS-Konto sie sich gegenseitig vertrauen. Der allgemeine Prozess für die Konfiguration dieses Vertrauens wird in den folgenden Schritten beschrieben. Innerhalb Ihrer Organisation müssen Sie einen [Identitätsanbieter haben, der SAML 2.0 unterstützt](id_roles_providers_saml_3rd-party.md), wie Microsoft Active Directory Federation Service (AD FS, Teil von Windows Server), Shibboleth oder einen anderen kompatiblen SAML 2.0-Anbieter. 

**Anmerkung**  
Um die Verbundstabilität zu verbessern, empfehlen wir, dass Sie Ihren IdP und Ihren AWS -Verbund so konfigurieren, dass mehrere SAML-Anmeldeendpunkte unterstützt werden. Einzelheiten finden Sie im AWS Sicherheitsblogartikel [How to use regional SAML](https://aws.amazon.com/blogs//security/how-to-use-regional-saml-endpoints-for-failover) endpoints for Failover.

**Konfigurieren Sie den IdP Ihrer Organisation und AWS sich gegenseitig zu vertrauen**

1. Registrieren Sie sich AWS als Service Provider (SP) beim IdP Ihrer Organisation. Verwenden Sie das SAML-Metadatendokument von `https://{{region-code}}.signin.aws.amazon.com/static/saml-metadata.xml` 

   

   Sie können optional das SAML-Metadatendokument von verwenden. `https://signin.aws.amazon.com/static/saml-metadata.xml`

1. <a name="createxml"></a>Mithilfe des Identitätsanbieters Ihrer Organisation erstellen Sie eine entsprechende SAML-Metadaten-XML-Datei, die Ihren Identitätsanbieter als IAM-Identitätsanbieter in AWS beschreibt. Es muss den Namen des Ausstellers, ein Erstellungsdatum, ein Ablaufdatum und Schlüssel enthalten, anhand derer die Authentifizierungsantworten (Assertionen) Ihrer Organisation validiert werden AWS können. 

   Wenn Sie zulassen, dass verschlüsselte SAML-Assertionen von Ihrem externen IdP gesendet werden, müssen Sie mithilfe des IdP Ihrer Organisation eine private Schlüsseldatei generieren und diese Datei im PEM-Dateiformat in Ihre IAM-SAML-Konfiguration hochladen. AWS STS benötigt diesen privaten Schlüssel, um SAML-Antworten zu entschlüsseln, die dem öffentlichen Schlüssel entsprechen, der auf Ihren IdP hochgeladen wurde.
**Anmerkung**  
Wie im [SAML V2.0 Metadata Interoperability Profile Version 1.0](https://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-iop-os.html) definiert, bewertet IAM den Ablauf von X.509 Zertifikaten in SAML-Metadatendokumenten nicht und ergreift auch keine Maßnahmen. Wenn Sie sich Sorgen über abgelaufene X.509 Zertifikate machen, empfehlen wir Ihnen, die Ablaufdaten der Zertifikate zu überwachen und die Zertifikate entsprechend den Governance- und Sicherheitsrichtlinien Ihres Unternehmens zu rotieren.

1. <a name="samlovrcreateentity"></a>In der IAM-Konsole erstellen Sie einen SAML-Identitätsanbieter. Als Teil dieses Prozesses laden Sie das SAML-Metadatendokument und den privaten Entschlüsselungsschlüssel hoch, der vom IdP in Ihrer Organisation in [Step 2](#createxml) erstellt wurde. Weitere Informationen finden Sie unter [Erstellen eines SAML-Identitätsanbieters in IAM](id_roles_providers_create_saml.md).

1. <a name="samlovrcreaterole"></a>In IAM erstellen Sie eine oder mehrere IAM-Rollen. In der Vertrauensrichtlinie der Rolle legen Sie den SAML-Anbieter als Principal fest, wodurch eine Vertrauensbeziehung zwischen Ihrer Organisation und AWS hergestellt wird. Die Berechtigungsrichtlinie der Rolle legt fest, wozu die Benutzer in Ihrer Organisation in AWS berechtigt sind. Weitere Informationen finden Sie unter [Erstellen einer Rolle für einen externen Identitätsanbieter](id_roles_create_for-idp.md).
**Anmerkung**  
SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

1. Im Identitätsanbieter Ihrer Organisation definieren Sie Zusicherungen, in denen Benutzer oder Gruppen in Ihrer Organisation den IAM-Rollen zugeordnet werden. Beachten Sie, dass unterschiedliche Benutzer und Gruppen in Ihrer Organisation unterschiedlichen IAM-Rollen zugeordnet werden können. Die genauen Schritte zur Durchführung des Mappings hängen davon ab, welche Identitätsanbieter Sie verwenden. Im [früheren Szenario](#CreatingSAML-configuring) eines Amazon S3-Ordners für Benutzer ist es möglich, dass alle Benutzer derselben Rolle zugeordnet werden, die Amazon S3-Berechtigungen bieten. Weitere Informationen finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md).

   Wenn Ihr IdP SSO für die AWS Konsole aktiviert, können Sie die maximale Dauer der Konsolensitzungen konfigurieren. Weitere Informationen finden Sie unter [Aktivieren von SAML 2.0-Verbundprinzipalen für den Zugriff auf AWS-Managementkonsole](id_roles_providers_enable-console-saml.md).

1. In der Anwendung, die Sie erstellen, rufen Sie die AWS -Security-Token-Service `AssumeRoleWithSAML` API auf und übergeben ihr den ARN des SAML-Anbieters, in dem Sie erstellt haben[Step 3](#samlovrcreateentity), den ARN der Rolle, von der angenommen werden soll, dass Sie sie erstellt haben[Step 4](#samlovrcreaterole), und die SAML-Assertion über den aktuellen Benutzer, die Sie von Ihrem IdP erhalten. AWS stellt sicher, dass die Anfrage zur Übernahme der Rolle von dem IdP stammt, auf den im SAML-Anbieter verwiesen wird. 

   Weitere Informationen finden Sie unter [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) in der *AWS -Security-Token-Service -API-Referenz*. 

1. Wenn die Anforderung erfolgreich ist, gibt die API eine Reihe temporärer Sicherheitsanmeldeinformationen zurück, die Ihre Anwendung verwenden kann, um signierte Anforderungen an AWS zu stellen. Ihre Anwendung hat Informationen über den aktuellen Benutzer und kann auf benutzerspezifische Ordner in Amazon S3 zugreifen, wie im vorherigen Szenario beschrieben. 

## Überblick über die Rolle, die den SAML-federated Zugriff auf Ihre AWS Ressourcen
<a name="CreatingSAML-configuring-role"></a>

Die Rollen, die Sie in IAM erstellen, definieren, wozu SAML-Verbundprinzipale aus Ihrer Organisation in AWS berechtigt sind. Beim Erstellen der Vertrauensrichtlinie für die Rolle geben Sie den SAML-Anbieter an, die Sie zuvor als `Principal` erstellt haben. Darüber hinaus können Sie den Geltungsbereich der Vertrauensrichtlinie mithilfe einer `Condition` festlegen, sodass nur Benutzer, die bestimmte SAML-Attribute erfüllen, auf die Rolle zugreifen können. Sie können beispielsweise angeben, dass nur Benutzer, deren SAML-Zugehörigkeit `staff` (wie von bestätigthttps://openidp.feide.no) ist, auf die Rolle zugreifen dürfen, wie in der folgenden Beispielrichtlinie veranschaulicht wird:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::{{111122223333}}:saml-provider/ExampleOrgSSOProvider"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {
      "StringEquals": {
        "saml:aud": "https://{{us-east-1}}.signin.aws.amazon.com/saml",
        "saml:iss": "https://openidp.feide.no"
      },
      "ForAllValues:StringLike": {"saml:edupersonaffiliation": ["staff"]}
    }
  }]
}
```

------

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws-cn:iam::{{111122223333}}:saml-provider/ExampleOrgSSOProvider"
            },
            "Action": "sts:AssumeRoleWithSAML",
            "Condition": {
                "StringEquals": {
                    "saml:aud": "https://{{cn-north-1}}.signin.amazonaws.cn/saml",
                    "saml:iss": "https://openidp.feide.no"
                },
                "ForAllValues:StringLike": {
                    "saml:edupersonaffiliation": [
                        "staff"
                    ]
                }
            }
        }
    ]
}
```

------

**Anmerkung**  
SAML-IDPs, die in einer Rollen-Vertrauensrichtlinie verwendet werden, müssen sich in demselben Konto befinden, in dem sich die Rolle befindet.

Der Kontextschlüssel `saml:aud` in der Richtlinie gibt die URL an, die Ihr Browser bei der Anmeldung an der Konsole anzeigt. Diese Anmeldeendpunkt-URL muss mit dem SAML-Empfängerattribut Ihres Identitätsanbieters übereinstimmen. Sie können Anmelde-URLs innerhalb bestimmter Regionen angeben. AWS empfiehlt, regionale Endpunkte anstelle des globalen Endpunkts zu verwenden, um die Ausfallsicherheit des Verbunds zu verbessern. Wenn Sie nur einen Endpunkt konfiguriert haben, können Sie AWS in dem unwahrscheinlichen Fall, dass der Endpunkt nicht verfügbar ist, keine Verbindung herstellen. 

 `region-code`

 `https://{{region-code}}.signin.aws.amazon.com/saml` 

Wenn eine SAML-Verschlüsselung erforderlich ist, muss die Anmelde-URL die eindeutige Kennung enthalten, die AWS Ihrem SAML-Anbieter zuweist. Diese finden Sie auf der Detailseite des Identitätsanbieters. Im folgenden Beispiel enthält die Anmelde-URL eine eindeutige Kennung des Identitätsanbieters, weshalb /acs/ an den Anmeldepfad angefügt werden muss.

 `https://{{region-code}}.signin.aws.amazon.com/saml/acs/{{IdP-ID}}` 

Für die Berechtigungsrichtlinie in der Rolle geben Sie Berechtigungen wie bei jeder anderen Rolle auch an. Wenn Benutzer aus Ihrer Organisation beispielsweise Amazon Elastic Compute Cloud-Instances verwalten dürfen, müssen Sie Amazon EC2 EC2-Aktionen in der Berechtigungsrichtlinie explizit zulassen, z. B. die Aktionen in der **AmazonEC2FullAccess**verwalteten Richtlinie. 

Weitere Informationen zu den SAML-Schlüsseln, die Sie in einer Richtlinie überprüfen können, finden Sie unter [Verfügbare Schlüssel für SAML-based AWS STS Verbund](reference_policies_iam-condition-keys.md#condition-keys-saml).

## Eindeutige Identifizierung von Benutzern im Verbund SAML-based
<a name="CreatingSAML-userid"></a>

Wenn Sie Zugriffsrichtlinien in IAM erstellen können, ist es häufig nützlich, wenn Berechtigungen basierend auf der Identität der Benutzer angegeben werden können. Für Benutzer, die mit SAML verbunden wurde, möchte eine Anwendung möglicherweise Informationen in Amazon S3 mit einer Struktur wie dieser behalten: 

```
amzn-s3-demo-bucket/app1/{{user1}}
amzn-s3-demo-bucket/app1/{{user2}}
amzn-s3-demo-bucket/app1/{{user3}}
```

Sie können den Bucket (`amzn-s3-demo-bucket`) und den Ordner (`app1`) über die Amazon S3 S3-Konsole oder die erstellen AWS CLI, da es sich um statische Werte handelt. Die benutzerspezifischen Ordner ({{user1}}, {{user2}}{{user3}}, usw.) müssen jedoch zur Laufzeit mithilfe von Code erstellt werden, da der Wert, der den Benutzer identifiziert, erst bekannt ist, wenn sich der Benutzer zum ersten Mal über den Verbundprozess anmeldet. 

Um Richtlinien zu schreiben, die auf benutzerspezifische Details als Teil eines Ressourcennamens verweisen, muss die Identität des Benutzers in SAML-Schlüsseln verfügbar sein, die in Richtlinienbedingungen verwendet werden können. Die folgenden Schlüssel sind für SAML 2.0-basierten Verbund zur Verwendung in IAM-Richtlinien verfügbar. Sie können die von den folgenden Schlüsseln zurückgegebenen Werte verwenden, um eindeutige Benutzerkennungen für Ressourcen wie Amazon S3-Ordner zu erstellen. 
+ `saml:namequalifier`. Ein Hash-Wert basierend auf der Verkettung des `Issuer`-Antwortwerts (`saml:iss`) und einer Zeichenfolge mit der `AWS`-Konto-ID und dem Anzeigenamen (der letzte Teil der ARN) des SAML-Anbieters in IAM. Die Verkettung der Konto-ID und des Anzeigenamens des SAML-Anbieters steht als der Schlüssel `saml:doc` für IAM-Richtlinien zur Verfügung. Die Konto-ID und der Anbietername müssen durch ein '/' getrennt werden, wie in "123456789012/provider\_name“. Weitere Informationen finden Sie im `saml:doc`-Schlüssel unter [Verfügbare Schlüssel für SAML-based AWS STS Verbund](reference_policies_iam-condition-keys.md#condition-keys-saml).

  Die Kombination aus `NameQualifier` und `Subject` kann verwendet werden, um einen SAML-Verbundprinzipal eindeutig zu identifizieren. Die folgende Pseudocode zeigt, wie dieser Wert berechnet wird. In diesem Fall `SHA1` steht der `+` Pseudocode für eine Verkettung, für eine Funktion, die einen Nachrichtenüberblick erzeugt SHA-1, und `Base64` für eine Funktion, die eine Base-64 verschlüsselte Version der Hash-Ausgabe erzeugt.

   `Base64 ( SHA1 ( "https://example.com/saml" + "123456789012" + "/MySAMLIdP" ) )` 

   Weitere Hinweise zu den Richtlinienschlüsseln, die für den Verbund verfügbar sind, finden Sie unter. SAML-based [Verfügbare Schlüssel für SAML-based AWS STS Verbund](reference_policies_iam-condition-keys.md#condition-keys-saml)
+ `saml:sub` (string). Dies ist der Betreff des Antrags, der einen Wert enthält, der einen einzelnen Benutzer innerhalb einer Organisation eindeutig identifiziert (zum Beispiel `_cbb88bf52c2510eabe00c1642d4643f41430fe25e3`). 
+ `saml:sub_type` (string). Dieser Schlüssel kann `persistent`, `transient`oder die vollständige `Format`-URI aus den `Subject`- und `NameID`-Elementen sein, die in Ihrer SAML-Zusicherung verwendet wurden. Der Wert `persistent` gibt an, dass der Wert in `saml:sub` für einen Benutzer derselbe für alle Sessions ist. Wenn der Wert `transient` lautet, hat der Benutzer einen anderen `saml:sub`-Wert für jede Sitzung. Weitere Informationen zum `NameID`-Attribut des `Format`-Elements finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). 

Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die die oben genannten Schlüssel verwendet, um Berechtigungen für einen benutzerspezifischen Ordner in Amazon S3 zu gewähren. Die Richtlinie geht davon aus, dass die Amazon S3-Objekte mit einem Präfix identifiziert werden, das sowohl `saml:namequalifier` als auch `saml:sub` enthält. Beachten Sie, dass das `Condition`-Element einen Test umfasst, um sicherzustellen, dass `saml:sub_type` auf `persistent` festgelegt ist. Wenn er auf `transient` festgelegt ist, kann der `saml:sub`-Wert für den Benutzer für jede Sitzung unterschiedlich sein und die Kombination der Werte sollte nicht verwendet werden, um benutzerspezifische Ordner zu identifizieren. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}
```

------

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}
```

------

Weitere Informationen zum Mapping von Zusicherungen aus dem Identitätsanbieter zu Richtlinienschlüsseln finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). 