【问题标题】:Use-STSRole : Credential generation from SAML authentication failedUse-STSRole:从 SAML 身份验证生成凭据失败
【发布时间】:2017-11-30 17:47:38
【问题描述】:

下面的 AWS Powershell SAML 代码在所有 Windows 工作站上都​​可以正常工作,但在所有 Windows 服务器上都会出现此错误:

Use-STSRole:从 SAML 身份验证生成凭据失败。 + CategoryInfo : InvalidOperation: (Amazon.PowerShe...seSTSRoleCmdlet:UseSTSRoleCmdlet) [Use-STSRole], InvalidOperationException + FullyQualifiedErrorId : Amazon.Runtime.AmazonClientException,Amazon.PowerShell.Cmdlets.STS.UseSTSRoleCmdlet

powershell 代码:

清除-AWSCredentials

Set-DefaultAWSRegion eu-west-1

$ADFSendpoint=Set-AWSSamlEndpoint -Endpoint "https://adfs.mycompany.com/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices" -StoreAs ADFSendpoint

Set-AWSSamlRoleProfile -EndpointName $ADFSendpoint -StoreAllRoles

Set-AWSCredentials -ProfileName "123456789012:role/MyRole"

$RoleArn = "arn:aws:iam::123456789012:role/MyRole"

$CredentialAws = (使用-STSRole -RoleArn $RoleArn -RoleSessionName "MySession").凭据

$CredentialAws

获取-S3Bucket


这太让人抓狂了——它们在其他方面设置相同,ADFS 端点在服务器上的浏览器中仍然可以正常工作,但在 Powershell 中却不行。

这曾经在服务器上运行过,但我无法找出它停止运行的原因。

【问题讨论】:

    标签: adfs aws-powershell


    【解决方案1】:

    问题已解决。

    Fiddler 揭示了一个证书问题(见下文),结果发现有两个版本的根证书“Starfield Class 2 Certification Authority”——工作站上的版本到期 2034,服务器上的版本到期 2024——所以两者应该是有效的,但是 2024 版本仍然显示 chain with warning 并且 2034 版本显示 chain with no warning

    因此,AWS Powershell 端点 sts.amazonaws.com 最近必须更改其证书链才会导致此症状。

    事件。 google for Powershell 脚本将 SSL 证书保存到 sts.amazonaws.com 等网站的文件中。

    -----fiddler 输出-----

    会话 #6:由于 RemoteCertificateChainErrors,服务器 (sts.amazonaws.com) 提供了未验证的证书。

    0 - 无法为受信任的根授权建立证书链。

    1 - 吊销功能无法检查证书的吊销。

    2 - 由于吊销服务器离线,吊销功能无法检查吊销。

    发行人:CN=Amazon,OU=Server CA 1B,O=Amazon,C=US

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-12-09
      • 2016-01-10
      • 2014-08-17
      • 2013-09-22
      • 2014-07-08
      • 2016-05-10
      相关资源
      最近更新 更多