对外部身份提供者使用 SAML 和 SCIM 身份联合验证
IAM Identity Center 实施以下基于标准的身份联合验证协议:
-
用于用户身份验证的 SAML 2.0
-
用于预置的 SCIM
任何实施这些标准协议的身份提供商 (IdP) 都有望与 IAM Identity Center 成功互操作,但需要注意以下特殊事项:
-
SAML
-
IAM Identity Center 要求电子邮件地址采用 SAML NameID 格式(即
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)。 -
断言中 nameID 字段的值必须是 RFC 2822(https://tools.ietf.org/html/rfc2822
)addr-spec 兼容 ( name@domain.com) 字符串(https://tools.ietf.org/html/rfc2822#section-3.4.1)。 -
元数据文件不能超过 75000 个字符。
-
元数据必须包含实体 ID、X509 证书和 SingleSignOnService 作为登录 URL 的一部分。
-
不支持加密密钥。
-
-
SCIM
-
IAM Identity Center SCIM 实施基于 SCIM RFC 7642 (https://tools.ietf.org/html/rfc7642
)、7643 (https://tools.ietf.org/html/rfc7643 ) 和 7644 (https: //tools.ietf.org/html/rfc7644 ),以及 2020 年 3 月 FastFed 基本 SCIM 配置文件 1.0 草案中规定的互操作性要求 (https://openid.net/specs/fastfed-scim-1_0-02)。 html#rfc.section.4 )。这些文档与 IAM Identity Center 中当前实施之间的任何差异均在 IAM Identity Center SCIM 实施开发人员指南的支持的 API 操作部分中进行了描述。
-
不支持不符合上述标准和注意事项的 IdP。请联系您的 IdP,了解有关其产品是否符合这些标准和注意事项的问题或澄清。
如果您在将 IdP 连接到 IAM Identity Center 时遇到任何问题,我们建议您检查:
-
AWS CloudTrail 通过对事件名称 ExternalIdPDirectoryLogin 进行筛选来记录日志
-
IdP 特定日志和/或调试日志
注意
一些 IdP(包括 IAM Identity Center 身份源教程 中的 IdP)以专为 IAM Identity Center 构建的“应用程序”或“连接器”的形式为 IAM Identity Center 提供简化的配置体验。如果您的 IdP 提供此选项,我们建议您使用它,并小心选择专为 IAM Identity Center 构建的项目。称为“AWS”、“AWS 联合身份验证”或类似通用“AWS”名称的其他项目可能使用其他联合方法和/或端点,并且可能无法按预期与 IAM Identity Center 配合使用。
