本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 对外部身份提供者使用 SAML 和 SCIM 身份联合验证 IAM Identity Center 实施以下基于标准的身份联合验证协议: + 用于用户身份验证的 SAML 2.0 + 用于预置的 SCIM 任何实施这些标准协议的身份提供商 (IdP) 都有望与 IAM Identity Center 成功互操作,但需要注意以下特殊事项: + **SAML** + IAM Identity Center 要求电子邮件地址采用 SAML NameID 格式(即 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`)。 + [断言中 nameID 字段的值必须是符合 RFC 2822 ([https://tools.ietf.org/html/rfc2822) addr-spec (“”) 字符串 (/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1)。`name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1) + 元数据文件不能超过 75000 个字符。 + 元数据必须包含 EntityID、X509 证书,并 SingleSignOnService作为登录网址的一部分。 + 不支持加密密钥。 + IAM Identity Center 不支持对发送给外部 IdPs的 SAML 身份验证请求进行签名。 + URLs 如果您计划将 IAM Identity Center 复制到其他区域,并充分利用多区域 IAM 身份中心的优势,IdP 必须支持多断言消费者服务 (ACS)。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。使用单个 ACS URL 可能会影响其他区域的用户体验。您的主要区域将继续正常运行。有关使用单个 ACS URL 在其他区域的用户体验的更多信息,请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。 + **SCIM** + [IAM Identity Center SCIM 的实施基于 SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642)、764](https://tools.ietf.org/html/rfc7642) 3 (/rfc7643) 和 7644 ([https://tools.ietf.org/html/rfc764](https://tools.ietf.org/html/rfc7643) 4),以及 2020 年 3 月基本 [https://tools.ietf.org/htmlSCIM Profile 1.0 草案 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)) 中规定的互操作性要求。 FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)这些文档与 IAM Identity Center 中当前实施之间的任何差异均在* IAM Identity Center SCIM 实施开发人员指南*的[支持的 API 操作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)部分中进行了描述。 IdPs 不支持不符合上述标准和注意事项的内容。请联系您的 IdP,了解有关其产品是否符合这些标准和注意事项的问题或澄清。 如果您在将 IdP 连接到 IAM Identity Center 时遇到任何问题,我们建议您检查: + AWS CloudTrail 通过筛选事件名称来记录日志 L **ExternalIdPDirectoryogin** + 特定于 IDP 的日志调试日志 and/or + [排查 IAM Identity Center 问题](troubleshooting.md) **注意** 有些 IdPs产品(例如中的那些)以专为 IAM Identity Center 构建的 “应用程序” 或 “连接器” 的形式为 IAM Identity Center 提供了简化的配置体验。[IAM Identity Center 身份源教程](tutorials.md)如果您的 IdP 提供此选项,我们建议您使用它,并小心选择专为 IAM Identity Center 构建的项目。其他名为 “AWS”、“AWS 联合” 或类似的通用 “AWS” 名称的项目可能使用其他联合方法 and/or 终端节点,并且可能无法按预期与 IAM Identity Center 配合使用。