Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos
IAM Identity Center implementa los siguientes protocolos basados en estándares para la federación de identidades:
-
SAML 2.0 para la autenticación de usuarios
-
SCIM para el aprovisionamiento
Se espera que cualquier proveedor de identidades (IdP) que implemente estos protocolos estándar interactúe correctamente con IAM Identity Center, teniendo en cuenta las siguientes consideraciones especiales:
-
SAML
-
IAM Identity Center requiere un formato de identificador de nombre SAML para la dirección de correo electrónico (es decir,
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress). -
El valor del campo NameID en las aserciones debe ser una cadena (/rfc2822) que cumpla con las especificaciones addr-spec («») (https://tools.ietf.org/html/rfc2822
#section -3.4.1). name@domain.comhttps://tools.ietf.org/html -
El archivo de metadatos no puede tener más de 75 000 caracteres.
-
Los metadatos deben contener un ID de entidad, un certificado X509 y formar parte de la URL de inicio de sesión. SingleSignOnService
-
No se admite el cifrado SSE-KMS.
-
El Centro de identidades de IAM no admite la firma de las solicitudes de autenticación SAML que envía a fuentes externas. IdPs
-
El IdP debe ser compatible con el servicio al consumidor de múltiples afirmaciones (ACS) URLs si planea replicar el centro de identidad de IAM en otras regiones y aprovechar al máximo las ventajas de un centro de identidad de IAM multirregional. Para obtener más información, consulte Uso del centro de identidad de IAM en varios Regiones de AWS. El uso de una única URL de ACS puede afectar a la experiencia del usuario en otras regiones. Su región principal seguirá funcionando con normalidad. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte Utilizar aplicaciones AWS administradas sin varios ACS URLs yCuenta de AWS resiliencia de acceso sin varios ACS URLs.
-
-
SCIM
-
La implementación del SCIM del IAM Identity Center se basa en los SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643
) y 7644 (https://tools.ietf.org/html/rfc7644 ) y en los requisitos de interoperabilidad establecidos en el borrador de marzo de https://tools.ietf.org/html2020 del Perfil SCIM básico 1.0 (#rfc .section.4 ). FastFed https://openid.net/specs/fastfed-scim-1_0-02.html Las diferencias entre estos documentos y la implementación actual en IAM Identity Center se describen en la sección Operaciones de API compatibles de la Guía para desarrolladores de implementación del SCIM de IAM Identity Center.
-
IdPs no se admiten aquellos que no se ajusten a los estándares y consideraciones mencionados anteriormente. Póngase en contacto con su IdP si cualquier pregunta o necesita más información sobre la conformidad de sus productos con estas normas y consideraciones.
Si tiene problemas para conectar su IdP al IAM Identity Center, compruebe lo siguiente:
-
AWS CloudTrail se registra filtrando por el nombre del evento ExternalIdPDirectoryIniciar sesión
-
Registros específicos de IdP: registros and/or de depuración
nota
Algunos IdPs, como los delTutoriales de orígenes de identidad de IAM Identity Center, ofrecen una experiencia de configuración simplificada para el IAM Identity Center en forma de «aplicación» o «conector» creado específicamente para el IAM Identity Center. Si su IdP ofrece esta opción, le recomendamos que la utilice, teniendo cuidado al elegir el elemento creado específicamente para IAM Identity Center. Otros elementos denominados «AWS», «AWS federación» o nombres genéricos similares de «»AWS pueden utilizar otros enfoques de federación y es posible and/or que no funcionen como se esperaba con el IAM Identity Center.
