SAP-C02 第 200 题
题目
A solutions architect has implemented a SAML 2.0 federated identity solution with their company's on-premises identity provider (IdP) to authenticate users' access to the AWS environment. When the solutions architect tests authentication through the federated identity web portal, access to the AWS environment is granted. However, when test users attempt to authenticate through the federated identity web portal, they are not able to access the AWS environment. Which items should the solutions architect check to ensure identity federation is properly configured? (Choose three.)
中文翻译:
解决方案架构师与其公司的本地身份提供商 (IdP) 实施了 SAML 2.0 联合身份解决方案,以验证用户对 AWS 环境的访问权限。当解决方案架构师通过联合身份 Web 门户测试身份验证时,将授予对 AWS 环境的访问权限。但是,当测试用户尝试通过联合身份 Web 门户进行身份验证时,他们无法访问 AWS 环境。解决方案架构师应检查哪些项目以确保身份联合配置正确? (选择三项。)
选项
A. The IAM user's permissions policy has allowed the use of SAML federation for that user.
中文翻译:
IAM 用户的权限策略允许该用户使用 SAML 联合。
B. The IAM roles created for the federated users' or federated groups' trust policy have set the SAML provider as the principal.
中文翻译:
为联合用户或联合组的信任策略创建的 IAM 角色已将 SAML 提供商设置为委托人。
C. Test users are not in the AWSFederatedUsers group in the company's IdP.
中文翻译:
测试用户不在公司 IdP 的 AWSFederatedUsers 组中。
D. The web portal calls the AWS STS AssumeRoleWithSAML API with the ARN of the SAML provider, the ARN of the IAM role, and the SAML assertion from IdP.
中文翻译:
Web 门户使用 SAML 提供商的 ARN、IAM 角色的 ARN 以及来自 IdP 的 SAML 断言调用 AWS STS AssumeRoleWithSAML API。
E. The on-premises IdP's DNS hostname is reachable from the AWS environment VPCs.
中文翻译:
本地 IdP 的 DNS 主机名可从 AWS 环境 VPC 访问。
F. The company's IdP defines SAML assertions that properly map users or groups. In the company to IAM roles with appropriate permissions.
中文翻译:
该公司的 IdP 定义了正确映射用户或组的 SAML 断言。在公司中给IAM角色赋予适当的权限。
答案
BCE
解析
正确答案:BCE 解析: 本题应选择 BCE。 正确选项: B. 为联合用户或联合组的信任策略创建的 IAM 角色已将 SAML 提供商设置为委托人。 C. 测试用户不在公司 IdP 的 AWSFederatedUsers 组中。 E. 本地 IdP 的 DNS 主机名可从 AWS 环境 VPC 访问。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成...