本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配外部身分提供者使用 SAML 和 SCIM 聯合身分
IAM Identity Center 針對聯合身分實作下列標準型通訊協定:
-
用於使用者身分驗證的 SAML 2.0
-
用於佈建的 SCIM
實作這些標準通訊協定的任何身分提供者 (IdP) 預期會與 IAM Identity Center 成功互通,但有下列特殊考量:
-
SAML
-
IAM Identity Center 需要電子郵件地址的 SAML nameID 格式 (即
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)。 -
宣告中 nameID 欄位的值必須是 RFC 2822 (https://tools.ietf.org/html/rfc2822
) addr-spec 合規 (“ name@domain.com”) 字串 (https://tools.ietf.org/html/rfc2822#section-3.4.1)。 -
中繼資料檔案不能超過 75000 個字元。
-
中繼資料必須包含 entityId、X509 憑證和 SingleSignOnService,做為登入 URL 的一部分。
-
不支援加密金鑰。
-
IAM Identity Center 不支援簽署傳送至外部 IdPs SAML 身分驗證請求。
-
如果您打算將 IAM Identity Center 複寫到其他區域,IdP 必須支援多個聲明消費者服務 (ACS) URLs,並充分利用多區域 IAM Identity Center 的優勢。如需詳細資訊,請參閱跨多個 使用 IAM Identity Center AWS 區域。使用單一 ACS URL 可能會影響其他區域中的使用者體驗。您的主要區域會繼續正常運作。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊,請參閱 使用沒有多個 ACS URLs AWS 受管應用程式和 AWS 帳戶 在沒有多個 ACS URLs存取彈性。
-
-
SCIM
-
IAM Identity Center SCIM 實作是以 SCIM RFCs7642 (https://tools.ietf.org/html/rfc7642
)、7643 (https://tools.ietf.org/html/rfc7643 ) 和 7644 (https://tools.ietf.org/html/rfc7644 ) 為基礎,以及 FastFed Basic SCIM Profile 1.0 (https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4 ) 的 2020 年 3 月草案中概述的互通性要求。IAM Identity Center SCIM 實作開發人員指南的支援 API 操作一節說明這些文件與 IAM Identity Center 中目前實作之間的差異。
-
不支援不符合上述標準和考量事項的 IdPs。如需有關其產品是否符合這些標準和考量事項的問題或釐清,請聯絡您的 IdP。
如果您在將 IdP 連線至 IAM Identity Center 時遇到任何問題,建議您檢查:
-
AWS CloudTrail 透過篩選事件名稱 ExternalIdPDirectoryLogin 的 日誌
-
IdP 特定的日誌和/或偵錯日誌
注意
有些 IdPs,例如 中的 IdPIAM Identity Center 身分來源教學課程,以專為 IAM Identity Center 建置的「應用程式」或「連接器」形式,為 IAM Identity Center 提供簡化的組態體驗。如果您的 IdP 提供此選項,我們建議您使用它,請小心選擇專為 IAM Identity Center 建置的項目。其他稱為「AWS」、「AWS 聯合」或類似一般「AWS」名稱的項目可能會使用其他聯合方法和/或端點,並且可能無法如預期與 IAM Identity Center 搭配使用。
