本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对外部身份提供商使用 SAML 和 SCIM 联合身份验证
IAM Identity Center 实施以下基于标准的身份联合验证协议:
-
用于用户身份验证的 SAML 2.0
-
用于预置的 SCIM
任何实施这些标准协议的身份提供商 (IdP) 都有望与 IAM Identity Center 成功互操作,但需要注意以下特殊事项:
-
SAML
-
IAM Identity Center 要求电子邮件地址采用 SAML NameID 格式(即
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
)。 -
断言中 nameID 字段的值必须是 RFC 2822 (https://tools.ietf.org/html/rfc2822
) addr-spec 兼容 (“ name@domain.com
”) 字符串 (https://tools.ietf.org/html/ rfc2822#section-3.4.1)。 -
元数据文件不能超过 75000 个字符。
-
元数据必须包含 EntityID、X509 证书,并 SingleSignOnService作为登录网址的一部分。
-
不支持加密密钥。
-
-
SCIM
-
IAM Identity Center SCIM 的实施基于 SCIM RFC 7642 (https://tools.ietf.org/html/rfc7642
)、7643 (https://tools.ietf.org/html/rfc7643) 和 7644 (https://tools.ietf.org/html/rfc7644 ),以及 2020 年 3 月的 B FastFed asic SCIM Profile 1.0 草案 () 中规定的互操作性要求。 https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 这些文档与 IAM Identity Center 中当前实施之间的任何差异均在 IAM Identity Center SCIM 实施开发人员指南的支持的 API 操作部分中进行了描述。
-
IdPs 不支持不符合上述标准和注意事项的内容。请联系您的 IdP,了解有关其产品是否符合这些标准和注意事项的问题或澄清。
如果您在将 IdP 连接到 IAM Identity Center 时遇到任何问题,我们建议您检查:
-
Amazon CloudTrail 通过筛选事件名称来记录日志 ExternalIdP DirectoryLogin
-
IdP 特定日志和/或调试日志
注意
有些 IdPs产品(例如中的那些)以专为 IAM Identity Center 构建的 “应用程序” 或 “连接器” 的形式为 IAM Identity Center 提供了简化的配置体验。入门教程如果您的 IdP 提供此选项,我们建议您使用它,并小心选择专为 IAM Identity Center 构建的项目。其他名为 “Amazon”、“Amazon 联合” 或类似的通用 “Amazon” 名称的项目可能使用其他联合方法和/或终端节点,并且可能无法按预期在 IAM Identity Center 上运行。