使用下列方式將外部身分IAM識別提供者佈建至 SCIM

如果您要佈建主要電子郵件地址，則此屬性值對於每個使用者都必須是唯一的。在某些情況下 IdPs，主要電子郵件地址可能不是真實的電子郵件地址。例如，它可能是只看起來像電子郵件的通用主要名稱 (UPN)。這些電子郵件地址 IdPs 可能包含使用者真實電子郵件地址的次要或「其他」電子郵件地址。您必須在 IdP SCIM 中設定，才能將非空唯一電子郵件地址對應至 I IAM dentity Center 主要電子郵件地址屬性。而且您必須將使用者非 NULL 唯一登入識別碼對應至 IAM Identity Center 使用者名稱屬性。檢查您的 IdP 是否具有單一值，即登入識別碼和使用者的電子郵件名稱。如果是這樣，您可以將該 IdP 欄位對應至IAM身分識別中心主要電子郵件和IAM身分識別中心使用者名稱。

若要讓SCIM同步化運作，每個使用者都必須指定「名字」、「姓氏」、「使用者名稱」和「顯示名稱」值。如果使用者遺漏這些值中的任何一個，將不會佈建該使用者。

如果您需要使用協力廠商應用程式，您必須先將輸出SAML主旨屬性對應至使用者名稱屬性。如果協力廠商應用程式需要可傳遞的電子郵件地址，您必須將電子郵件屬性提供給 IdP。

SCIM佈建和更新間隔由您的身分識別提供者控制。身分識別提供者中的使用者和群組所做的變更只會在IAM身分識別提供者傳送這些變更至身分中心後反映在IAM身分識別中心。如需使用者和群組更新頻率的詳細資訊，請洽詢您的身分提供者。

目前，多值屬性 (例如指定使用者的多個電子郵件或電話號碼) 未使用SCIM佈建。嘗試使用將多值屬性同步處理至IAM身分識別中心SCIM將會失敗。若要避免失敗，請確定每個屬性只傳遞一個值。如果您的使用者具有多值屬性，請移除或修改 IdP 中SCIM的重複屬性對應，以連線至IAM身分識別中心。

確認 IdP 的externalIdSCIM對應對應對應於唯一、永遠存在且最不可能為您的使用者變更的值。例如，您的 IdP 可能會提供保證objectId或其他識別碼，這些識別碼不受使用者屬性變更 (例如名稱和電子郵件) 的影響。如果是這樣，您可以將該值映射到SCIMexternalId字段。這樣可以確保您的用戶不會丟失 AWS 權利、指派或權限 (如果您需要變更其名稱或電子郵件)。

尚未指派給應用程式的使用者或 AWS 帳戶 無法佈建至IAM身分識別中心。若要同步使用者和群組，請確定這些使用者和群組已指派給應用程式或其他代表 IdP 與 I IAM dentity Center 連線的設定。

使用者取消佈建行為由身分識別提供者管理，並可能因其實作而有所不同。如需取消佈建的詳細資訊，請洽詢您的身分識別提供者。