翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
外部 ID プロバイダーでの SAML および SCIM ID フェデレーションの使用
IAM Identity Center は、ID フェデレーションのために以下の標準ベースのプロトコルを実装しています。
-
ユーザー認証用の SAML 2.0
-
SCIM のプロビジョニング
これらの標準的なプロトコルを実装している ID プロバイダー (IdP) は、以下の特別な注意事項を除き、IAM Identity Center と正常に相互運用できると考えられます。
-
SAML
-
IAM Identity Center では、SAML の nameID 形式のメールアドレス (つまり
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress) が必要です。 -
アサーションの nameID フィールドの値は、RFC 2822 (https://tools.ietf.org/html/rfc2822
) addr-spec 準拠 (“ name@domain.com”) 文字列 (https://tools.ietf.org/html/rfc2822#section-3.4.1) である必要があります。 -
メタデータファイルは 75000 文字を超えることはできません。
-
メタデータには、サインイン URL の一部として entityId 、X509 証明書、 SingleSignOnServiceが含まれている必要があります。
-
暗号化キーはサポートされていません。
-
-
SCIM
-
IAM Identity Center SCIM の実装は、SCIM RFCs7642 (https://tools.ietf.org/html/rfc7642
)、7643 (https://tools.ietf.org/html/rfc7643 )、および 7644 (https://tools.ietf.org/html/rfc7644 ) と、2020 年 3 月の FastFed 基本的な SCIM プロファイル 1.0 (https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 ) のドラフトで説明されている相互運用性要件に基づいています。これらのドキュメントと現在の IAM Identity Center での実装との違いは、「IAM Identity Center SCIM 実装デベロッパーガイドの 「サポートされる API オペレーション」のセクションに記載されています。
-
IdPs 上記の標準および考慮事項に準拠していない はサポートされていません。これらの規格や注意事項への製品の適合性に関する質問や説明については、お客様の IdP にお問い合わせください。
お使いの IdP と IAM Identity Center の接続に問題がある場合は、以下を確認することをお勧めします。
-
AWS CloudTrail イベント名 ExternalIdPDirectoryLogin でフィルタリングしてログを記録する
-
IdP 固有のログやデバッグログ
注記
の など IdPs、一部の では入門チュートリアル、IAM Identity Center 用に特別に構築された「アプリケーション」または「コネクタ」の形式で IAM Identity Center の設定を簡素化できます。お使いの IdP がこのオプションを提供している場合は、IAM Identity Center 用に作成されたアイテムを慎重に選択して使用することをお勧めします。AWS「」、AWS 「フェデレーション」、または類似の一般的なAWS「」名と呼ばれる他の項目は、他のフェデレーションアプローチやエンドポイントを使用する可能性があり、IAM Identity Center では期待どおりに動作しない場合があります。
