本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 搭配外部身分提供者使用 SAML 和 SCIM 聯合身分 IAM Identity Center 針對聯合身分實作下列標準型通訊協定: + 用於使用者身分驗證的 SAML 2.0 + 用於佈建的 SCIM 實作這些標準通訊協定的任何身分提供者 (IdP) 預期會與 IAM Identity Center 成功互通,但有下列特殊考量: + **SAML** + IAM Identity Center 需要電子郵件地址的 SAML nameID 格式 (即 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`)。 + 宣告中 nameID 欄位的值必須是 RFC 2822 ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822)) addr-spec 合規 (“`name@domain.com`”) 字串 ([https://tools.ietf.org/html/rfc2822\$1section-3.4.1](https://tools.ietf.org/html/rfc2822#section-3.4.1))。 + 中繼資料檔案不能超過 75000 個字元。 + 中繼資料必須包含 entityId、X509 憑證和 SingleSignOnService,做為登入 URL 的一部分。 + 不支援加密金鑰。 + IAM Identity Center 不支援簽署傳送至外部 IdPs SAML 身分驗證請求。 + 如果您打算將 IAM Identity Center 複寫到其他區域,IdP 必須支援多個聲明消費者服務 (ACS) URLs,並充分利用多區域 IAM Identity Center 的優勢。如需詳細資訊,請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。使用單一 ACS URL 可能會影響其他區域中的使用者體驗。您的主要區域會繼續正常運作。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊,請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。 + **SCIM** + IAM Identity Center SCIM 實作是以 SCIM RFCs7642 ([https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642))、7643 ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643)) 和 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7644)) 為基礎,以及 FastFed Basic SCIM Profile 1.0 ([https://openid.net/specs/fastfed-scim-1\$10-02.html\$1rfc.section.4](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)) 的 2020 年 3 月草案中概述的互通性要求。IAM Identity Center SCIM 實作開發人員指南的[支援 API 操作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)一節說明這些文件與 IAM Identity Center 中目前實作之間的差異。 ** 不支援不符合上述標準和考量事項的 IdPs。如需有關其產品是否符合這些標準和考量事項的問題或釐清,請聯絡您的 IdP。 如果您在將 IdP 連線至 IAM Identity Center 時遇到任何問題,建議您檢查: + AWS CloudTrail 透過篩選事件名稱 **ExternalIdPDirectoryLogin** 的 日誌 + IdP 特定的日誌和/或偵錯日誌 + [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md) **注意** 有些 IdPs,例如 中的 IdP[IAM Identity Center 身分來源教學課程](tutorials.md),以專為 IAM Identity Center 建置的「應用程式」或「連接器」形式,為 IAM Identity Center 提供簡化的組態體驗。如果您的 IdP 提供此選項,我們建議您使用它,請小心選擇專為 IAM Identity Center 建置的項目。其他稱為「AWS」、「AWS 聯合」或類似一般「AWS」名稱的項目可能會使用其他聯合方法和/或端點,並且可能無法如預期與 IAM Identity Center 搭配使用。