Uso de una federación de identidades con SAML proveedores de SCIM identidad externos

IAMIdentity Center implementa los siguientes protocolos basados en estándares para la federación de identidades:

SAML2.0 para la autenticación de usuarios
SCIMpara el aprovisionamiento

Se espera que cualquier proveedor de identidad (IdP) que implemente estos protocolos estándar interactúe correctamente con IAM Identity Center, teniendo en cuenta las siguientes consideraciones especiales:

SAML
- IAMIdentity Center requiere un formato de SAML ID de nombre para la dirección de correo electrónico (es decir,). urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- El valor del campo NameID en las aserciones debe ser una cadena 2822 (RFC/rfc2822) que cumpla con las especificaciones addr-spec («») (https://tools.ietf.org/html/rfc2822 #section -3.4.1). name@domain.com https://tools.ietf.org/html
- El archivo de metadatos no puede tener más de 75 000 caracteres.
- Los metadatos deben contener un certificado X509 y formar parte del inicio de sesión. entityId SingleSignOnService URL
- No se admite el cifrado SSE-KMS.

SCIM
- La SCIM implementación de IAM Identity Center se basa en los códigos SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643) y 7644 (https://tools.ietf.org/html/rfc7644), y en los requisitos de interoperabilidad establecidos en el borrador de https://tools.ietf.org/htmlmarzo de 2020 del Basic Profile 1.0 (#rfc .section.4). FastFed SCIM https://openid.net/specs/fastfed-scim-1_0-02.html Cualquier diferencia entre estos documentos y la implementación actual en Identity Center se describe en la sección Operaciones compatibles de la Guía para desarrolladores de implementaciones de Identity Center. IAM API IAM SCIM

IdPs no se admiten las que no se ajusten a las normas y consideraciones mencionadas anteriormente. Póngase en contacto con su IdP si cualquier pregunta o necesita más información sobre la conformidad de sus productos con estas normas y consideraciones.

Si tiene problemas para conectar su IdP a IAM Identity Center, le recomendamos que compruebe lo siguiente:

AWS CloudTrail registra filtrando el nombre del evento ExternalIdPDirectoryLogin
Registros específicos de IdP o registros de depuración
Solución de problemas con IAM Identity Center

nota

Algunas IdPs, como las delTutoriales de orígenes de identidad del Centro de identidades de IAM, ofrecen una experiencia de configuración simplificada para IAM Identity Center en forma de «aplicación» o «conector» creado específicamente para IAM Identity Center. Si su IdP ofrece esta opción, le recomendamos que la utilice, teniendo cuidado al elegir el elemento creado específicamente para IAM Identity Center. Otros elementos denominados «AWS», «AWS federación» o nombres genéricos similares de «»AWS pueden utilizar otros enfoques de federación o puntos finales, y es posible que no funcionen como se espera con IAM Identity Center.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo cambiar los metadatos de un proveedor de identidades externo

SCIMperfil e implementación SAML 2.0