Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollierung von IAM Identity Center-SCIM-API-Aufrufen mit AWS CloudTrail
IAM Identity Center SCIM ist integriert AWS CloudTrail, ein Dienst, der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem ausgeführten Aktionen bereitstellt. AWS-Service CloudTrail erfasst API-Aufrufe für SCIM als Ereignisse. Anhand der von CloudTrail gesammelten Informationen können Sie die Informationen über die angeforderte Aktion, das Datum und die Uhrzeit der Aktion, die Anforderungsparameter usw. ermitteln. Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.
Anmerkung
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Möglicherweise müssen Sie Ihr Zugriffstoken jedoch rotieren, um Ereignisse aus SCIM sehen zu können, wenn Ihr Token vor September 2024 erstellt wurde.
Weitere Informationen finden Sie unter Ein Zugriffstoken rotieren.
SCIM unterstützt die Protokollierung der folgenden Vorgänge als Ereignisse in: CloudTrail
Beispiele für Ereignisse CloudTrail
Die folgenden Beispiele zeigen typische CloudTrail Ereignisprotokolle, die bei SCIM-Vorgängen mit IAM Identity Center generiert werden. Diese Beispiele zeigen die Struktur und den Inhalt von Ereignissen für erfolgreiche Operationen und häufige Fehlerszenarien und helfen Ihnen zu verstehen, wie CloudTrail Protokolle bei der Behebung von SCIM-Bereitstellungsproblemen zu interpretieren sind.
Erfolgreicher Betrieb CreateUser
Dieses CloudTrail Ereignis zeigt einen erfolgreichen CreateUser Vorgang, der über die SCIM-API ausgeführt wurde. Das Ereignis erfasst sowohl die Anforderungsparameter (wobei vertrauliche Informationen maskiert sind) als auch die Antwortelemente, einschließlich der ID des neu erstellten Benutzers. Dieser Ereignistyp wird generiert, wenn ein Identitätsanbieter erfolgreich einen neuen Benutzer mithilfe des SCIM-Protokolls für IAM Identity Center bereitstellt.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "WebIdentityUser",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": {
"meta" : {
"created" : "Oct 10, 2024, 1:23:45 PM",
"lastModified" : "Oct 10, 2024, 1:23:45 PM",
"resourceType" : "User"
},
"displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Fehlgeschlagener PatchGroup Vorgang: Erforderliches Pfadattribut fehlt
Dieses CloudTrail Ereignis zeigt einen fehlgeschlagenen PatchGroup Vorgang, der zu ValidationException einer Fehlermeldung geführt hat"Missing path in
PATCH request". Der Fehler ist aufgetreten, weil für den PATCH Vorgang ein Pfadattribut erforderlich ist, um anzugeben, welches Gruppenattribut geändert werden soll, dieses Attribut jedoch in der Anforderung fehlte.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "Missing path in PATCH request",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REMOVE",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Fehlgeschlagener CreateGroup Vorgang: Der Gruppenname ist bereits vorhanden
Dieses CloudTrail Ereignis zeigt einen fehlgeschlagenen CreateGroup Vorgang, der zu einer ConflictException mit der Fehlermeldung geführt hat"Duplicate
GroupDisplayName". Dieser Fehler tritt auf, wenn versucht wird, eine Gruppe mit einem Anzeigenamen zu erstellen, der bereits in IAM Identity Center vorhanden ist. Der Identitätsanbieter muss einen eindeutigen Gruppennamen verwenden oder die bestehende Gruppe aktualisieren, anstatt eine neue zu erstellen.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ConflictException",
"errorMessage": "Duplicate GroupDisplayName",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Fehlgeschlagener PatchUser Vorgang: Mehrere E-Mail-Adressen werden nicht unterstützt
Dieses CloudTrail Ereignis zeigt einen fehlgeschlagenen PatchUser Vorgang, der zu ValidationException einer Fehlermeldung geführt hat"List attribute
emails exceeds allowed limit of 1". Dieser Fehler tritt auf, wenn versucht wird, einem Benutzer mehrere E-Mail-Adressen zuzuweisen, da IAM Identity Center nur eine E-Mail-Adresse pro Benutzer unterstützt. Der Identitätsanbieter muss die SCIM-Zuordnung so konfigurieren, dass für jeden Benutzer nur eine einzige E-Mail-Adresse gesendet wird.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "List attribute emails exceeds allowed limit of 1",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REPLACE",
"path": "emails",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Häufige SCIM-API-Validierungsfehler im IAM Identity Center
Die folgenden Validierungsfehlermeldungen treten häufig in CloudTrail Ereignissen auf, wenn die SCIM-API mit IAM Identity Center verwendet wird. Diese Validierungsfehler treten in der Regel bei der Benutzer- und Gruppenbereitstellung auf.
-
E-Mail mit Listenattribut überschreitet den zulässigen Grenzwert von 1 -
Zulässiges Limit für Listenattributadressen von 1 -
Es wurden 1 Validierungsfehler festgestellt: Der Wert bei '*name.familyName*' konnte die Einschränkung nicht erfüllen: Das Mitglied muss das Muster eines regulären Ausdrucks erfüllen: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\n\\ r] + -
Es wurden 2 Validierungsfehler festgestellt: Der Wert in 'Name.familyName' konnte die Einschränkung nicht erfüllen: Das Mitglied muss eine Länge größer oder gleich 1 haben; der Wert in 'Name.familyName' konnte die Einschränkung nicht erfüllen: Das Mitglied muss das reguläre Ausdrucksmuster erfüllen: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {N}\\ p {P}\\ t\\n\\ r] + -
Es wurden 2 Validierungsfehler festgestellt: Der Wert bei 'urn:IETF:params:scim:schemas:Extension:Enterprise:2.0:user.manager.value' konnte die Einschränkung nicht erfüllen: Der Wert bei 'urn:ietf:params:scim:schemas:Extension:enterprise:2.0:user.manager.value' konnte die Einschränkung nicht erfüllen: Member muss das reguläre Ausdrucksmuster erfüllen: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\n\\ r] +“, -
Ungültiges JSON von RequestBody -
Ungültiges Filterformat
