Usando a federação de identidades SAML e SCIM com provedores de identidade externos

O IAM Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:

SAML 2.0 para autenticação do usuário
SCIM para provisionamento

Espera-se que qualquer provedor de identidades (IdP) que implemente esses protocolos padrão interopere com sucesso com o IAM Identity Center, com as seguintes considerações especiais:

SAML
- O IAM Identity Center exige um formato SAML NameID de endereço de e-mail (ou seja, urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress).
- O valor do campo NameID nas asserções deve ser uma string (“”) compatível com RFC 2822 (https://tools.ietf.org/html/rfc2822) (https://tools.ietf.org/html/rfc2822#section-3.4.1). name@domain.com
- O arquivo de metadados não pode ter mais de 75.000 caracteres.
- Os metadados devem conter um EntityID, certificado X509 e SingleSignOnService como parte da URL de login.
- Uma chave de criptografia não é compatível.

SCIM
- A implementação do IAM Identity Center SCIM é baseada nos RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (https://tools.ietf.org/html/rfc7643) e 7644 (https://tools.ietf.org/html/rfc7644) do SCIM e nos requisitos de interoperabilidade estabelecidos no rascunho de março de 2020 do Basic SCIM Profile 1.0 (https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4). FastFed Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção Operações de API suportadas do Guia do desenvolvedor de implementação do IAM Identity Center SCIM.

IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.

Se você tiver problemas para conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:

AWS CloudTrail registra filtrando o nome do evento P ExternalId DirectoryLogin
Registros específicos do IdP e/ou registros de depuração
Solução de problemas do IAM Identity Center

nota

Alguns IdPs, como os doTutoriais de introdução, oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que a utilize, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outras abordagens de federação e/ou endpoints e podem não funcionar conforme o esperado com o IAM Identity Center.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar um provedor de identidade externo

Perfil do SCIM e implementação SAML 2.0