本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 SAML 和 SCIM 身分識別與外部身分識別提供者的聯合
IAM 身分中心針對聯合身分實作下列標準式通訊協定:
-
用於使用者驗證的 SAML 2.0
-
用於佈建的 SCIM
任何實作這些標準通訊協定的身分識別提供者 (IdP) 都可以與 IAM 身分中心成功互通,並注意下列特殊考量:
-
SAML
-
IAM 身分識別中心需要使用 SAML NameID 格式的電子郵件地址 (也就是)。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
-
斷言中的 NameID 字段的值必須是 RFC 2822(https://tools.ietf.org/html/rfc2822
)兼容添加規範(「」 name@domain.com
)字符串(https://tools.ietf.org/html/rfc2822#section-3.4.1)。 -
中繼資料檔案不能超過 75000 個字元。
-
中繼資料必須包含實體 ID、X509 憑證,並 SingleSignOnService作為登入網址的一部分。
-
不支援加密金鑰。
-
-
SCIM
-
IAM 身分識別中心 SCIM 的實作是以 SCIM RFC 7642 (https://tools.ietf.org/html/rfc7642
)、7643 (https://tools.ietf.org/html/rfc7643 ) 和 7644 (完整) 為基礎,以及 2020 年 3 月 FastFed 基本 SCIM 設定檔 1.0 (完整) 草案中列出的互通性要求。 https://tools.ietf.org/html/rfc7644 https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 這些文件與 IAM 身分識別中心目前實作之間的任何差異,請參閱 IAM 身分中心 SCIM 實作開發人員指南的支援 API 作業一節。
-
IdPs 不支持不符合上述標準和注意事項的內容。請聯絡您的 IdP,以取得有關其產品符合這些標準和考量的問題或說明。
如果您在將 IdP 連線到 IAM 身分中心時遇到任何問題,建議您檢查:
-
AWS CloudTrail 通過對事件名稱 ExternalIdP 進行過濾記錄 DirectoryLogin
-
IDP 特定的記錄檔和/或偵錯記錄檔
注意
有些 IdPs (例如中的) 會以專為 IAM 身分中心建置的「應用程式」或「連接器」形式入門教學課程,為 IAM 身分中心提供簡化的組態體驗。如果您的 IdP 提供此選項,建議您使用它,請謹慎選擇專為 IAM 身分中心建置的項目。其他名為「AWS」、「同AWS 盟」或類似的一般「AWS」名稱的項目可能會使用其他同盟方法和/或端點,而且可能無法如預期般運作 IAM 身分中心。