Verwendung SAML und SCIM Identitätsverbund mit externen Identitätsanbietern

IAMIdentity Center implementiert die folgenden standardbasierten Protokolle für den Identitätsverbund:

SAML2.0 für die Benutzerauthentifizierung
SCIMfür die Bereitstellung

Von jedem Identitätsanbieter (IdP), der diese Standardprotokolle implementiert, wird erwartet, dass er erfolgreich mit IAM Identity Center zusammenarbeitet, wobei die folgenden besonderen Überlegungen zu beachten sind:

SAML
- IAMIdentity Center benötigt für die E-Mail-Adresse ein SAML NameID-Format (d. h.). urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Der Wert des Felds NameID in Assertionen muss eine RFC 2822 (https://tools.ietf.org/html/rfc2822) addr-spec-konforme („“) Zeichenfolge sein (/rfc2822 #section -3.4.1). name@domain.com https://tools.ietf.org/html
- Die Metadatendatei darf nicht mehr als 75000 Zeichen enthalten.
- Die Metadaten müssen ein entityId X509-Zertifikat enthalten und Teil SingleSignOnService der Anmeldung sein. URL
- Ein Verschlüsselungsschlüssel wird nicht unterstützt.

SCIM
- Die IAM Identity SCIM Center-Implementierung basiert auf SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643) und 7644 (https://tools.ietf.org/html/rfc7644) sowie auf den Interoperabilitätsanforderungen, die im Entwurf des Basic Profile 1.0 vom März 2020 (#rfc https://tools.ietf.org/html.section.4) dargelegt sind. FastFed SCIM https://openid.net/specs/fastfed-scim-1_0-02.html Alle Unterschiede zwischen diesen Dokumenten und der aktuellen Implementierung in Identity Center werden im Abschnitt Unterstützte Operationen des Identity Center Implementation Developer Guide beschrieben. IAM API IAM SCIM

IdPs die nicht den oben genannten Standards und Überlegungen entsprechen, werden nicht unterstützt. Bitte wenden Sie sich an Ihren IdP, wenn Sie Fragen oder Erläuterungen zur Konformität seiner Produkte mit diesen Standards und Überlegungen haben.

Wenn Sie Probleme haben, Ihren IdP mit IAM Identity Center zu verbinden, empfehlen wir Ihnen, Folgendes zu überprüfen:

AWS CloudTrail protokolliert, indem nach dem Namen des Ereignisses gefiltert wird ExternalIdPDirectoryLogin
IDP-spezifische Logs und/oder Debug-Logs
Behebung von Problemen mit IAM Identity Center

Anmerkung

Einige IdPs, wie die in derIAMIdentity Center Tutorials zur Identitätsquelle, bieten eine vereinfachte Konfiguration für IAM Identity Center in Form einer „Anwendung“ oder eines „Konnektors“, die speziell für IAM Identity Center entwickelt wurden. Wenn Ihr IdP diese Option anbietet, empfehlen wir Ihnen, sie zu verwenden. Achten Sie darauf, den Artikel auszuwählen, der speziell für IAM Identity Center entwickelt wurde. Andere Artikel mit dem Namen“AWS”, “AWS Federation“ oder ähnliches generisches“AWS"Namen verwenden möglicherweise andere Verbundansätze und/oder Endpunkte und funktionieren möglicherweise nicht wie erwartet mit IAM Identity Center.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ändern Sie die Metadaten eines externen Identitätsanbieters

SCIMProfil und SAML 2.0-Implementierung