对外部身份提供商使用 SAML 和 SCIM 联合身份验证

IAM Identity Center 实施以下基于标准的身份联合验证协议：

用于用户身份验证的 SAML 2.0
用于预置的 SCIM

任何实施这些标准协议的身份提供商 (IdP) 都有望与 IAM Identity Center 成功互操作，但需要注意以下特殊事项：

SAML
- IAM Identity Center 要求电子邮件地址采用 SAML NameID 格式（即 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress）。
- 断言中 nameID 字段的值必须是 RFC 2822 (https://tools.ietf.org/html/rfc2822) addr-spec 兼容 (“name@domain.com”) 字符串 (https://tools.ietf.org/html/ rfc2822#section-3.4.1)。
- 元数据文件不能超过 75000 个字符。
- 元数据必须包含 EntityID、X509 证书，并 SingleSignOnService作为登录网址的一部分。
- 不支持加密密钥。

SCIM
- IAM Identity Center SCIM 的实施基于 SCIM RFC 7642 (https://tools.ietf.org/html/rfc7642)、7643 (https://tools.ietf.org/html/rfc7643) 和 7644 (https://tools.ietf.org/html/rfc7644)，以及 2020 年 3 月的 B FastFed asic SCIM Profile 1.0 草案 () 中规定的互操作性要求。 https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 这些文档与 IAM Identity Center 中当前实施之间的任何差异均在 IAM Identity Center SCIM 实施开发人员指南的支持的 API 操作部分中进行了描述。

IdPs 不支持不符合上述标准和注意事项的内容。请联系您的 IdP，了解有关其产品是否符合这些标准和注意事项的问题或澄清。

如果您在将 IdP 连接到 IAM Identity Center 时遇到任何问题，我们建议您检查：

Amazon CloudTrail 通过筛选事件名称来记录日志 ExternalIdP DirectoryLogin
IdP 特定日志和/或调试日志
排查 IAM Identity Center 问题

注意

有些 IdPs产品（例如中的那些）以专为 IAM Identity Center 构建的 “应用程序” 或 “连接器” 的形式为 IAM Identity Center 提供了简化的配置体验。入门教程如果您的 IdP 提供此选项，我们建议您使用它，并小心选择专为 IAM Identity Center 构建的项目。其他名为 “Amazon”、“Amazon 联合” 或类似的通用 “Amazon” 名称的项目可能使用其他联合方法和/或终端节点，并且可能无法按预期在 IAM Identity Center 上运行。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

连接到外部身份提供商

SCIM 配置文件和 SAML 2.0 实施