As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de federação de identidades SAML e SCIM com provedores de identidade externos
O IAM Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:
-
SAML 2.0 para autenticação do usuário
-
SCIM para provisionamento
Espera-se que qualquer provedor de identidades (IdP) que implemente esses protocolos padrão interopere com sucesso com o IAM Identity Center, com as seguintes considerações especiais:
-
SAML
-
O IAM Identity Center exige um formato SAML NameID de endereço de e-mail (ou seja,
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress). -
O valor do campo NameID nas asserções deve ser uma string (“”) compatível com addr-spec RFC 2822 (https://tools.ietf.org/html/rfc2822) compatível com addr-spec (/rfc2822
#section -3.4.1). name@domain.comhttps://tools.ietf.org/html -
O arquivo de metadados não pode ter mais de 75.000 caracteres.
-
Os metadados devem conter um EntityID, certificado X509 e SingleSignOnService como parte da URL de login.
-
Uma chave de criptografia não é compatível.
-
O IAM Identity Center não é compatível com a assinatura de solicitações de autenticação SAML enviadas para o exterior IdPs.
-
O IdP precisa oferecer suporte a vários serviços ao consumidor de asserção (ACS) URLs se você planeja replicar o IAM Identity Center para regiões adicionais e aproveitar totalmente os benefícios de um IAM Identity Center multirregional. Para obter mais informações, consulte Usando o IAM Identity Center em vários Regiões da AWS. Usar um único URL do ACS pode afetar a experiência do usuário em outras regiões. Sua região principal continuará funcionando normalmente. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte Usando aplicativos AWS gerenciados sem vários ACS URLs e. Conta da AWS resiliência de acesso sem vários ACS URLs
-
-
SCIM
-
A implementação do IAM Identity Center SCIM é baseada no SCIM RFCs 7642 (https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643
) e 7644 (https://tools.ietf.org/html/rfc7644 ) e nos requisitos de interoperabilidade estabelecidos no rascunho de março de https://tools.ietf.org/html2020 do Basic SCIM Profile 1.0 (#rfc .section.4 ). FastFed https://openid.net/specs/fastfed-scim-1_0-02.html Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção Operações de API suportadas do Guia do desenvolvedor de implementação do IAM Identity Center SCIM.
-
IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.
Se você tiver problemas para conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:
-
AWS CloudTrail registra filtrando o nome ExternalId PDirectory do evento Login
-
Registros específicos do IdP, registros and/or de depuração
nota
Alguns IdPs, como os doTutoriais sobre fontes de identidade do IAM Identity Center, oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que a utilize, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outros and/or endpoints de abordagem de federação e podem não funcionar conforme o esperado com o IAM Identity Center.
