Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni

IAM Identity Center implementa i seguenti protocolli basati su standard per la federazione delle identità:

SAML 2.0 per l'autenticazione degli utenti
SCIM per il provisioning

Qualsiasi provider di identità (IdP) che implementa questi protocolli standard dovrebbe interagire con successo con IAM Identity Center, con le seguenti considerazioni speciali:

SAML
- IAM Identity Center richiede un indirizzo e-mail in formato SAML NameID (ovvero,). urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Il valore del campo NameID nelle asserzioni deve essere una stringa conforme a RFC 2822 (https://tools.ietf.org/html/rfc2822) addr-spec («») (/rfc2822 #section -3.4.1). name@domain.com https://tools.ietf.org/html
- Il file di metadati non può contenere più di 75000 caratteri.
- I metadati devono contenere un EntityID, un certificato X509 e SingleSignOnService come parte dell'URL di accesso.
- Una chiave di crittografia non è supportata.
- IAM Identity Center non supporta la firma delle richieste di autenticazione SAML inviate a siti esterni IdPs.
- L'IdP deve supportare il Multiple Assertion Consumer Service (ACS) URLs se prevedi di replicare IAM Identity Center in altre regioni e sfruttare appieno i vantaggi di un IAM Identity Center multiregionale. Per ulteriori informazioni, consulta Utilizzo di IAM Identity Center su più Regioni AWS. L'utilizzo di un singolo URL ACS può influire sull'esperienza utente in altre regioni. La tua regione principale continuerà a funzionare normalmente. Per ulteriori informazioni sull'esperienza utente in altre regioni con un unico URL ACS, consulta Utilizzo di applicazioni AWS gestite senza più ACS URLs eAccount AWS resilienza di accesso senza più ACS URLs.

SCIM
- L'implementazione di IAM Identity Center SCIM si basa su SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643) e 7644 (https://tools.ietf.org/html/rfc7644) e sui requisiti di interoperabilità stabiliti nella bozza di marzo 2020 del https://tools.ietf.org/htmlBasic SCIM Profile 1.0 (#rfc .section.4). FastFed https://openid.net/specs/fastfed-scim-1_0-02.html Eventuali differenze tra questi documenti e l'attuale implementazione in IAM Identity Center sono descritte nella sezione Operazioni API supportate della Guida per gli sviluppatori di IAM Identity Center SCIM Implementation.

IdPs i prodotti che non sono conformi agli standard e alle considerazioni sopra menzionati non sono supportati. Contatta il tuo IdP per domande o chiarimenti sulla conformità dei suoi prodotti a questi standard e considerazioni.

In caso di problemi nel connettere il tuo IdP a IAM Identity Center, ti consigliamo di controllare:

AWS CloudTrail registra filtrando il nome dell'evento Login ExternalId PDirectory
Registri specifici per IDP, registri and/or di debug
Risoluzione dei problemi relativi a IAM Identity Center

Nota

Alcuni IdPs, come quelli inclusi inTutorial sulle fonti di identità di IAM Identity Center, offrono un'esperienza di configurazione semplificata per IAM Identity Center sotto forma di «applicazione» o «connettore» creato appositamente per IAM Identity Center. Se il tuo IdP offre questa opzione, ti consigliamo di utilizzarla, facendo attenzione a scegliere l'elemento creato specificamente per IAM Identity Center. Altri elementi denominati «AWS», «AWS federazione» o nomi «AWS" generici simili possono utilizzare and/or endpoint con approcci federativi diversi e potrebbero non funzionare come previsto con IAM Identity Center.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modifica i metadati di un provider di identità esterno

Profilo SCIM e implementazione SAML 2.0