Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Automatisch bereitgestellte Ressourcen prüfen und abgleichen
<a name="reconcile-auto-provisioning"></a>

Mit SCIM können Sie automatisch Benutzer, Gruppen und Gruppenmitgliedschaften aus Ihrer Identitätsquelle für IAM Identity Center bereitstellen. Dieses Handbuch hilft Ihnen dabei, diese Ressourcen zu überprüfen und abzugleichen, um eine korrekte Synchronisation zu gewährleisten.

## Warum sollten Sie Ihre Ressourcen prüfen?
<a name="reconcile-auto-provisioning-why-audit"></a>

Regelmäßige Prüfungen tragen dazu bei, dass Ihre Zugriffskontrollen korrekt bleiben und Ihr Identity Provider (IdP) ordnungsgemäß mit IAM Identity Center synchronisiert bleibt. Dies ist besonders wichtig für die Einhaltung von Sicherheitsbestimmungen und das Zugriffsmanagement.

Ressourcen, die Sie prüfen können:
+ Benutzer
+ Gruppen
+ Gruppenmitgliedschaften

 Sie können AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)- oder [CLI-Befehle](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) verwenden, um die Prüfung und den Abgleich durchzuführen. In den folgenden Beispielen AWS CLI werden Befehle verwendet. API-Alternativen finden Sie in den [entsprechenden Vorgängen](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) in der *Identity Store-API-Referenz*. 

## Wie prüft man Ressourcen
<a name="how-to-audit-resources"></a>

Im Folgenden finden Sie Beispiele dafür, wie Sie diese Ressourcen mithilfe von AWS CLI Befehlen prüfen können.

Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:
+ Administratorzugriff auf IAM Identity Center.
+ AWS CLI installiert und konfiguriert. Weitere Informationen finden Sie im [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Erforderliche IAM-Berechtigungen für Identity Store-Befehle.

### Schritt 1: Aktuelle Ressourcen auflisten
<a name="list-current-resources"></a>

Sie können Ihre aktuellen Ressourcen mit dem anzeigen AWS CLI.

**Anmerkung**  
 Wenn Sie den verwenden AWS CLI, erfolgt die Seitennummerierung automatisch, sofern Sie nichts anderes angeben`--no-paginate`. Wenn Sie die API direkt aufrufen (z. B. mit einem SDK oder einem benutzerdefinierten Skript), behandeln Sie das `NextToken` in der Antwort. Dadurch wird sichergestellt, dass Sie alle Ergebnisse auf mehreren Seiten abrufen. 

**Example für Benutzer**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example für Gruppen**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example für Gruppenmitgliedschaften**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### Schritt 2: Mit Ihrer Identitätsquelle vergleichen
<a name="compare-idenity-source"></a>

Vergleichen Sie die aufgelisteten Ressourcen mit Ihrer Identitätsquelle, um etwaige Unstimmigkeiten zu ermitteln, z. B.:
+ Fehlende Ressourcen, die in IAM Identity Center bereitgestellt werden sollten.
+ Zusätzliche Ressourcen, die aus IAM Identity Center entfernt werden sollten.

**Example für Benutzer**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example für Gruppen**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example für Gruppenmitgliedschaften**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## Überlegungen
<a name="audit-resources-consideratons"></a>
+ Befehle unterliegen [Dienstkontingenten und API-Drosselung](limits.md#ssothrottlelimits).
+ Wenn Sie beim Abgleich viele Unterschiede feststellen, nehmen Sie kleine, schrittweise Änderungen am AWS Identity Store vor. Auf diese Weise können Sie Fehler vermeiden, die mehrere Benutzer betreffen.
+ Die SCIM-Synchronisierung kann Ihre manuellen Änderungen außer Kraft setzen. Überprüfe deine IdP-Einstellungen, um dieses Verhalten zu verstehen.