As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando a federação de identidades SAML e SCIM com provedores de identidade externos
O IAM Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:
-
SAML 2.0 para autenticação do usuário
-
SCIM para provisionamento
Espera-se que qualquer provedor de identidades (IdP) que implemente esses protocolos padrão interopere com sucesso com o IAM Identity Center, com as seguintes considerações especiais:
-
SAML
-
O IAM Identity Center exige um formato SAML NameID de endereço de e-mail (ou seja,
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
). -
O valor do campo NameID nas asserções deve ser uma string (“”) compatível com RFC 2822 (https://tools.ietf.org/html/rfc2822
) (https://tools.ietf.org/html/rfc2822#section-3.4.1). name@domain.com
-
O arquivo de metadados não pode ter mais de 75.000 caracteres.
-
Os metadados devem conter um EntityID, certificado X509 e SingleSignOnService como parte da URL de login.
-
Uma chave de criptografia não é compatível.
-
-
SCIM
-
A implementação do IAM Identity Center SCIM é baseada nos RFCs 7642 (https://tools.ietf.org/html/rfc7642
), 7643 (https://tools.ietf.org/html/rfc7643 ) e 7644 (https://tools.ietf.org/html/rfc7644 ) do SCIM e nos requisitos de interoperabilidade estabelecidos no rascunho de março de 2020 do Basic SCIM Profile 1.0 (https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4). FastFed Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção Operações de API suportadas do Guia do desenvolvedor de implementação do IAM Identity Center SCIM.
-
IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.
Se você tiver problemas para conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:
-
AWS CloudTrail registra filtrando o nome do evento P ExternalId DirectoryLogin
-
Registros específicos do IdP e/ou registros de depuração
nota
Alguns IdPs, como os doTutoriais de introdução, oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que a utilize, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outras abordagens de federação e/ou endpoints e podem não funcionar conforme o esperado com o IAM Identity Center.