Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern

IAM Identity Center implementiert die folgenden standardbasierten Protokolle für den Identitätsverbund:

SAML 2.0 für die Benutzerauthentifizierung
SCIM für die Bereitstellung

Von jedem Identitätsanbieter (IdP), der diese Standardprotokolle implementiert, wird erwartet, dass er erfolgreich mit IAM Identity Center zusammenarbeitet, wobei die folgenden besonderen Überlegungen zu beachten sind:

SAML
- IAM Identity Center erfordert ein SAML-NameID-Format für die E-Mail-Adresse (d. h.). urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Der Wert des Felds NameID in Assertionen muss eine RFC 2822 (https://tools.ietf.org/html/rfc2822) adressspezifikationskonforme („“) Zeichenfolge (/rfc2822 #section -3.4.1) sein. name@domain.com https://tools.ietf.org/html
- Die Metadatendatei darf nicht mehr als 75000 Zeichen enthalten.
- Die Metadaten müssen eine EntityID und ein X509-Zertifikat enthalten und Teil der SingleSignOnService Anmelde-URL sein.
- Ein Verschlüsselungsschlüssel wird nicht unterstützt.

SCIM
- Die SCIM-Implementierung von IAM Identity Center basiert auf SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643) und 7644 (https://tools.ietf.org/html/rfc7644) sowie den Interoperabilitätsanforderungen, die im Entwurf des Basic SCIM Profile 1.0 vom März 2020 (#rfc https://tools.ietf.org/html.section.4) dargelegt wurden. FastFed https://openid.net/specs/fastfed-scim-1_0-02.html Alle Unterschiede zwischen diesen Dokumenten und der aktuellen Implementierung in IAM Identity Center werden im Abschnitt Unterstützte API-Operationen des IAM Identity Center SCIM Implementation Developer Guide beschrieben.

IdPs die nicht den oben genannten Standards und Überlegungen entsprechen, werden nicht unterstützt. Bitte wenden Sie sich an Ihren IdP, wenn Sie Fragen oder Erläuterungen zur Konformität seiner Produkte mit diesen Standards und Überlegungen haben.

Wenn Sie Probleme haben, Ihren IdP mit dem IAM Identity Center zu verbinden, empfehlen wir Ihnen, Folgendes zu überprüfen:

AWS CloudTrail protokolliert, indem Sie nach dem Ereignisnamen Login filtern ExternalId PDirectory
IDP-spezifische Logs und/oder Debug-Logs
Behebung von Problemen mit IAM Identity Center

Anmerkung

Einige IdPs, wie die in derTutorials zu Identitätsquellen im IAM Identity Center, bieten eine vereinfachte Konfiguration für IAM Identity Center in Form einer „Anwendung“ oder eines „Connectors“, die speziell für IAM Identity Center entwickelt wurden. Wenn Ihr IdP diese Option anbietet, empfehlen wir Ihnen, sie zu verwenden. Achten Sie darauf, den Artikel auszuwählen, der speziell für IAM Identity Center entwickelt wurde. Andere Elemente, die als „AWS“, „AWS Federation“ oder ähnliche generische "AWS" Namen bezeichnet werden, verwenden möglicherweise andere Verbundansätze und/oder Endpunkte und funktionieren möglicherweise nicht wie erwartet mit IAM Identity Center.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ändern Sie die Metadaten eines externen Identitätsanbieters

SCIM-Profil und SAML 2.0-Implementierung