As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de federação de identidades SAML e SCIM com provedores de identidade externos
O IAM Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:
-
SAML 2.0 para autenticação do usuário
-
SCIM para provisionamento
Espera-se que qualquer provedor de identidades (IdP) que implemente esses protocolos padrão interopere com sucesso com o IAM Identity Center, com as seguintes considerações especiais:
-
SAML
-
O IAM Identity Center exige um formato SAML NameID de endereço de e-mail (ou seja,
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress). -
O valor do campo NameID nas asserções deve ser uma string compatível com RFC 2822 (https://tools.ietf.org/html/rfc2822
) addr-spec (“”) (#section -3.4.1). name@domain.comhttps://tools.ietf.org/html/rfc2822 -
O arquivo de metadados não pode ter mais de 75.000 caracteres.
-
Os metadados devem conter um EntityID, certificado X509 e SingleSignOnService como parte da URL de login.
-
Uma chave de criptografia não é compatível.
-
O IAM Identity Center não é compatível com a assinatura de solicitações de autenticação SAML que ele envia para o exterior IdPs.
-
O IdP precisa oferecer suporte a vários URLs de serviço ao consumidor de asserção (ACS) se você planeja replicar o IAM Identity Center em outras regiões e aproveitar totalmente os benefícios de um IAM Identity Center multirregional. Para obter mais informações, consulte Usando o IAM Identity Center em vários Regiões da AWS. Usar um único URL do ACS pode afetar a experiência do usuário em outras regiões. Sua região principal continuará funcionando normalmente. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL do ACS, consulte Utilizar AWS aplicativos gerenciados sem vários URLs ACS e. Conta da AWS resiliência de acesso sem vários URLs ACS
-
-
SCIM
-
A implementação do IAM Identity Center SCIM é baseada nas RFCs 7642 (https://tools.ietf.org/html/rfc7642
), 7643 () e 7644 (https://tools.ietf.org/html/rfc7644 ) do SCIM e nos requisitos de interoperabilidade estabelecidos no rascunho de março de 2020 do Perfil SCIM Básico 1.0 (#rfc .section.4). https://tools.ietf.org/html/rfc7643 FastFed https://openid.net/specs/fastfed-scim-1_0-02.html Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção Operações de API suportadas do Guia do desenvolvedor de implementação do IAM Identity Center SCIM.
-
IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.
Se você tiver problemas para conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:
-
AWS CloudTrail registra filtrando o nome do evento ExternalIdPDirectoryLogin
-
IdP-specific registros registros and/or de depuração
nota
Alguns IdPs, como os doTutoriais sobre fontes de identidade do IAM Identity Center, oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que a utilize, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outros and/or endpoints de abordagem de federação e podem não funcionar conforme o esperado com o IAM Identity Center.
