使用 SAML 和 SCIM 身分識別與外部身分識別提供者的聯合

IAM 身分中心針對聯合身分實作下列標準式通訊協定：

• 用於使用者驗證的 SAML 2.0

• 用於佈建的 SCIM

任何實作這些標準通訊協定的身分識別提供者 (IdP) 都可以與 IAM 身分中心成功互通，並注意下列特殊考量：

• SAML

  • IAM 身分識別中心需要使用 SAML NameID 格式的電子郵件地址 (也就是)。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  • 斷言中的 NameID 字段的值必須是 RFC 2822（https://tools.ietf.org/html/rfc2822）兼容添加規範（「」name@domain.com）字符串（https://tools.ietf.org/html/rfc2822#section-3.4.1）。

  • 中繼資料檔案不能超過 75000 個字元。

  • 中繼資料必須包含實體 ID、X509 憑證，並 SingleSignOnService作為登入網址的一部分。

  • 不支援加密金鑰。

• SCIM

  • IAM 身分識別中心 SCIM 的實作是以 SCIM RFC 7642 (https://tools.ietf.org/html/rfc7642)、7643 (https://tools.ietf.org/html/rfc7643) 和 7644 (完整) 為基礎，以及 2020 年 3 月 FastFed 基本 SCIM 設定檔 1.0 (完整) 草案中列出的互通性要求。 https://tools.ietf.org/html/rfc7644 https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 這些文件與 IAM 身分識別中心目前實作之間的任何差異，請參閱 IAM 身分中心 SCIM 實作開發人員指南的支援 API 作業一節。

IdPs 不支持不符合上述標準和注意事項的內容。請聯絡您的 IdP，以取得有關其產品符合這些標準和考量的問題或說明。

如果您在將 IdP 連線到 IAM 身分中心時遇到任何問題，建議您檢查：

• AWS CloudTrail 通過對事件名稱 ExternalIdP 進行過濾記錄 DirectoryLogin

• IDP 特定的記錄檔和/或偵錯記錄檔

• IAM 身分中心問題疑難排解

注意

有些 IdPs (例如中的) 會以專為 IAM 身分中心建置的「應用程式」或「連接器」形式入門教學課程，為 IAM 身分中心提供簡化的組態體驗。如果您的 IdP 提供此選項，建議您使用它，請謹慎選擇專為 IAM 身分中心建置的項目。其他名為「AWS」、「同AWS 盟」或類似的一般「AWS」名稱的項目可能會使用其他同盟方法和/或端點，而且可能無法如預期般運作 IAM 身分中心。