

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 外部身份提供者
<a name="manage-your-identity-source-idp"></a>

借助 IAM Identity Center，您可以通过安全断言标记语言 (SAMLIdPs) 2.0 和身份管理系统 (SCIM) 协议，连接来自外部 Cross-Domain 身份提供商 () 的现有员工身份。这使您的用户能够使用其公司凭证登录 AWS 访问门户。然后，他们可以导航到为其分配的帐户、角色和托管在外部的应用程序 IdPs。

例如，您可以将 Okta 或 Microsoft Entra ID 等外部 IdP 连接到 IAM Identity Center。然后，您的用户可以使用其现有Okta或Microsoft Entra ID凭据登录 AWS 访问门户。要控制用户登录后可以执行的操作，您可以集中为他们分配 AWS 组织中所有账户和应用程序的访问权限。此外，开发人员只需使用其现有凭证登录 AWS Command Line Interface (AWS CLI)，即可从自动生成和轮换短期凭证中受益。

如果您使用的是 Active Directory 或中的自管理目录 AWS Managed Microsoft AD，请参阅[Microsoft AD 目录](manage-your-identity-source-ad.md)。

**注意**  
SAML 协议不提供查询 IdP 以了解用户和组的方法。因此，您必须通过将这些用户和组预置到 IAM Identity Center 来使 IAM Identity Center 了解这些用户和组。

## 当用户来自外部 IdP 时进行预置
<a name="provisioning-when-external-idp"></a>

使用外部 IdP 时，必须先将所有适用的用户和群组配置到 IAM Identity Center 中，然后才能对 AWS 账户 或应用程序进行任何分配。为此，您可以为用户和组配置 [使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md)，也可以使用 [手动预置](provision-automatically.md#provision-manually)。无论您如何配置用户，IAM Identity Center 都会将命令行界面和应用程序身份验证重定向到您的外部 IdP。 AWS 管理控制台然后，IAM Identity Center 根据您在 IAM Identity Center 中创建的策略授予对这些资源的访问权限。有关预置的更多信息，请参阅 [用户和组预调配](users-groups-provisioning.md#user-group-provision)。

**Topics**
+ [当用户来自外部 IdP 时进行预置](#provisioning-when-external-idp)
+ [如何连接到外部身份提供商](how-to-connect-idp.md)
+ [如何在 IAM Identity Center 中更改外部身份提供者元数据](how-to-change-idp-metadata.md)
+ [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)
+ [SCIM 配置文件和 SAML 2.0 实施](scim-profile-saml.md)