调用AssumeRoleWithSAML获取扮演RAM角色的临时身份凭证

进行SAML角色SSO时，通过调用AssumeRoleWithSAML接口，获取扮演RAM角色的临时身份凭证（STS Token）。

接口说明

前提条件

确保已从外部身份提供商（IdP）获取到 SAML 响应。
确保已在 RAM 中创建了 SAML 身份提供商。具体操作，请参见创建 SAML 身份提供商或 CreateSAMLProvider 。
确保已在 RAM 中创建了可信实体为 SAML 身份提供商的 RAM 角色。具体操作，请参见创建可信实体为身份提供商的 RAM 角色或 CreateRole 。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

当前API暂无授权信息透出。

请求参数

名称	类型	必填	描述	示例值
SAMLProviderArn	string	是	RAM 中创建的 SAML 身份提供商的 ARN。格式：`acs:ram::<account_id>:saml-provider/<saml_provider_id>`。您可以通过 RAM 控制台或 API 查看身份提供商的 ARN。具体如下： RAM 控制台：请参见查看 SAML 身份提供商基本信息。 API：请参见 GetSAMLProvider 或 ListSAMLProviders 。	acs:ram::123456789012****:saml-provider/company1
RoleArn	string	是	要扮演的 RAM 角色的 ARN。该角色是可信实体为 SAML 身份提供商的 RAM 角色。更多信息，请参见创建可信实体为身份提供商的 RAM 角色或 CreateRole 。格式：`acs:ram::<account_id>:role/<role_name>`。您可以通过 RAM 控制台或 API 查看角色 ARN。具体如下： RAM 控制台：请参见如何查看 RAM 角色的 ARN？。 API：请参见 ListRoles 或 GetRole 。	acs:ram::123456789012****:role/adminrole
SAMLAssertion	string	是	Base64 编码后的 SAML 断言。长度为 4~100000 个字符。说明需要从 IdP 获取完整的 SAML 响应，不能是单独的 SAML 断言字段。	base64_encoded_saml_assertion
Policy	string	否	为 STS Token 额外添加的一个权限策略，进一步限制 STS Token 的权限。具体如下：如果指定该权限策略，则 STS Token 最终的权限取 RAM 角色权限策略与该权限策略的交集。如果不指定该权限策略，则 STS Token 最终的权限就是 RAM 角色的权限。长度为 1~2048 个字符。	url_encoded_policy
DurationSeconds	long	否	Token 有效期。单位：秒。 Token 有效期最小值为 900 秒，最大值为`MaxSessionDuration`设置的时间，默认值为 3600 秒。您可以通过 CreateRole 或 UpdateRole 接口设置角色最大会话时间`MaxSessionDuration`。更多信息，请参见 CreateRole 或 UpdateRole 。	3600

说明由于 AssumeRoleWithSAML 接口使用 SAML 断言进行身份认证，可以匿名访问，因此不需要提供公共请求参数中的Signature、SignatureMethod、SignatureVersion和AccessKeyId参数。关于公共请求参数的详情，请参见公共请求参数。

返回参数

名称	类型	描述	示例值
	object	返回参数。
RequestId	string	请求 ID。	6894B13B-6D71-4EF5-88FA-F32781734A7F
SAMLAssertionInfo	object	SAML 断言中的部分信息。
SubjectType	string	SAML 断言中`NameID`的格式。当前缀为`urn:oasis:names:tc:SAML:2.0:nameid-format:`时，前缀会被移除。例如：`persistent/transient`。	persistent
Subject	string	SAML 断言中`Subject - NameID`字段的值。	alice@example.com
Issuer	string	SAML 断言中`Issuer`字段的值。	http://example.com/adfs/services/trust
Recipient	string	SAML 断言中`Subject - SubjectConfirmation - SubjectConfirmationData`字段中`Recipient`属性的值。	https://signin.aliyun.com/saml-role/SSO
AssumedRoleUser	object	角色扮演临时身份。
AssumedRoleId	string	临时身份的 ID。	34458433936495****:alice
Arn	string	临时身份的 ARN。	acs:sts::123456789012****:assumed-role/AdminRole/alice
Credentials	object	访问凭证。
SecurityToken	string	安全令牌。说明安全令牌的长度不固定，我们强烈建议您不要对安全令牌的最大长度做任何限制。	********
Expiration	string	Token 到期失效时间（UTC 时间）。	2015-04-09T11:52:19Z
AccessKeySecret	string	访问密钥。	wyLTSmsyPGP1ohvvw8xYgB29dlGI8KMiH2pK****
AccessKeyId	string	访问密钥 ID。	STS.L4aBSCSJVMuKg5U1****

示例

正常返回示例

JSON格式

{
  "RequestId": "6894B13B-6D71-4EF5-88FA-F32781734A7F",
  "SAMLAssertionInfo": {
    "SubjectType": "persistent",
    "Subject": "alice@example.com",
    "Issuer": "http://example.com/adfs/services/trust",
    "Recipient": "https://signin.aliyun.com/saml-role/SSO"
  },
  "AssumedRoleUser": {
    "AssumedRoleId": "34458433936495****:alice",
    "Arn": "acs:sts::123456789012****:assumed-role/AdminRole/alice"
  },
  "Credentials": {
    "SecurityToken": "********",
    "Expiration": "2015-04-09T11:52:19Z",
    "AccessKeySecret": "wyLTSmsyPGP1ohvvw8xYgB29dlGI8KMiH2pK****",
    "AccessKeyId": "STS.L4aBSCSJVMuKg5U1****"
  }
}

错误码

HTTP status code	错误码	错误信息
500	InternalError	STS Server Internal Error happened, please send the RequestId to us.
500	InternalError	STS Server Internal Error happened, please send the RequestId to us.

访问错误中心查看更多错误码。