外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する - AWS IAM Identity Center

外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する

IAM Identity Center は、ID フェデレーションのために以下の標準ベースのプロトコルを実装しています。

  • ユーザー認証用の SAML 2.0

  • SCIM のプロビジョニング

これらの標準的なプロトコルを実装している ID プロバイダー (IdP) は、以下の特別な注意事項を除き、IAM Identity Center と正常に相互運用できると考えられます。

  • SAML

    • IAM Identity Center では、SAML の nameID 形式のメールアドレス (つまり urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress) が必要です。

    • アサーション内の nameID フィールドの値は、RFC 2822 (https://tools.ietf.org/html/rfc2822) のアドレス仕様準拠 (「name@domain.com」) の文字列 (https://tools.ietf.org/html/rfc2822#section-3.4.1) でなければなりません。

    • メタデータファイルは 75000 文字を超えることはできません。

    • メタデータには、サインイン URL の一部として EntityID、X509 証明書、および SingleSignOnService が含まれている必要があります。

    • 暗号化キーはサポートされていません。

上記の規格や注意事項に準拠していない IdP はサポートされません。これらの規格や注意事項への製品の適合性に関する質問や説明については、お客様の IdP にお問い合わせください。

お使いの IdP と IAM Identity Center の接続に問題がある場合は、以下を確認することをお勧めします。

注記

IAM Identity Center の ID ソースに関するチュートリアル にあるような一部の IdP は、IAM Identity Center 専用に構築された「アプリケーション」または「コネクター」の形式で、IAM Identity Center 向けの簡素化された構成エクスペリエンスを提供します。お使いの IdP がこのオプションを提供している場合は、IAM Identity Center 用に作成されたアイテムを慎重に選択して使用することをお勧めします。「AWS」、「AWS フェデレーション」、または類似の一般的な「AWS」と呼ばれるその他のアイテムは、他のフェデレーションアプローチやエンドポイントを使用している可能性があり、IAM Identity Center で期待通りに動作しない可能性があります。