Usando SAML uma federação de SCIM identidades com provedores de identidade externos

IAMO Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:

SAML2.0 para autenticação do usuário
SCIMpara provisionamento

Espera-se que qualquer provedor de identidade (IdP) que implemente esses protocolos padrão interopere com êxito com o IAM Identity Center, com as seguintes considerações especiais:

SAML
- IAMO Identity Center requer um formato SAML NameID de endereço de e-mail (ou seja,urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress).
- O valor do campo NameID nas asserções deve ser uma string 2822 (RFC/rfc2822) compatível com addr-spec (“”) (https://tools.ietf.org/html/rfc2822 #section -3.4.1). name@domain.com https://tools.ietf.org/html
- O arquivo de metadados não pode ter mais de 75.000 caracteres.
- Os metadados devem conter um entityId certificado X509 e SingleSignOnService como parte do login. URL
- Uma chave de criptografia não é compatível.

SCIM
- A SCIM implementação do IAM Identity Center é baseada em SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643) e 7644 (https://tools.ietf.org/html/rfc7644) e nos requisitos de interoperabilidade estabelecidos na versão preliminar do https://tools.ietf.org/htmlPerfil Básico 1.0 de março de 2020 (#rfc .section.4). FastFed SCIM https://openid.net/specs/fastfed-scim-1_0-02.html Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção APIOperações suportadas do Guia do Desenvolvedor de SCIM Implementação do IAM Identity Center.

IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.

Se você tiver algum problema ao conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:

AWS CloudTrail registra filtrando o nome do evento ExternalIdPDirectoryLogin
Registros específicos do IdP e/ou registros de depuração
Solução de problemas do IAM Identity Center

nota

Alguns IdPs, como os doTutoriais sobre fontes de identidades do IAM Identity Center, oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que você a use, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outras abordagens de federação e/ou endpoints e podem não funcionar conforme o esperado com o IAM Identity Center.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Alterar metadados de um provedor de identidades externo

SCIMperfil e implementação SAML 2.0