【以下的回答经过翻译处理】 我已通过以下方法解决了这个问题：

如果您允许Azure AD的访客用户，并希望使用这些用户来进行AWS身份验证：

这将导致从AD收到的SAML响应中的用户名与AWS IAM Identity Center中的实际用户名不匹配。

解决方法

要解决此问题，您可以考虑修改从Azure发送到AWS SSO的SAML响应的用户声明，以便您可以为访客AD用户发送正确的属性[1][2]。请按照以下步骤操作：

1. 登录到您的Azure门户并导航至Azure AD Directory
2. 从左侧窗格中选择企业应用程序并选择所需的AWS应用程序
3. 从左侧窗格中导航到“单一登录”选项卡
4. 单击“用户属性和声明”旁边的“编辑”按钮
5. 在必需的声明下选择“唯一用户标识符（名称ID）”。
6. 现在我们需要创建两个声明条件（位于屏幕底部），一个用于您的AD用户，另一个用于您的访客用户，如下所示。

	成员        -   属性      -    用户.userprincipalname
	访客        -   属性      -    用户邮件

7. 保存编辑并再次尝试登录过程，您应该能够登录。您可能需要完全清除浏览器缓存。