Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Journalisation des appels d'API SCIM d'IAM Identity Center avec AWS CloudTrail
IAM Identity Center SCIM est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un. Service AWS CloudTrail capture les appels d'API pour SCIM sous forme d'événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer les informations concernant l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.
Note
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Toutefois, vous devrez peut-être faire pivoter votre jeton d'accès pour voir les événements du SCIM, si votre jeton a été créé avant septembre 2024.
Pour de plus amples informations, veuillez consulter Faire pivoter un jeton d'accès.
SCIM prend en charge la journalisation des opérations suivantes sous forme d'événements dans CloudTrail :
Exemples d' CloudTrail événements
Les exemples suivants illustrent les journaux d' CloudTrail événements typiques générés lors des opérations SCIM avec IAM Identity Center. Ces exemples présentent la structure et le contenu des événements nécessaires à la réussite des opérations ainsi que les scénarios d'erreur courants. Ils vous aident à comprendre comment interpréter les CloudTrail journaux lors de la résolution des problèmes de provisionnement SCIM.
CreateUserOpération réussie
Cet CloudTrail événement indique une CreateUser opération réussie réalisée via l'API SCIM. L'événement capture à la fois les paramètres de la demande (les informations sensibles étant masquées) et les éléments de réponse, y compris le nouvel identifiant de l'utilisateur. Ce type d'événement est généré lorsqu'un fournisseur d'identité fournit avec succès un nouvel utilisateur à IAM Identity Center à l'aide du protocole SCIM.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "WebIdentityUser",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": {
"meta" : {
"created" : "Oct 10, 2024, 1:23:45 PM",
"lastModified" : "Oct 10, 2024, 1:23:45 PM",
"resourceType" : "User"
},
"displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Échec PatchGroup de l'opération : attribut de chemin requis manquant
Cet CloudTrail événement indique PatchGroup l'échec d'une opération qui a entraîné ValidationException un message d'erreur"Missing path in
PATCH request". L'erreur s'est produite parce que l'PATCHopération nécessite un attribut de chemin pour spécifier l'attribut de groupe à modifier, mais cet attribut était absent de la demande.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "Missing path in PATCH request",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REMOVE",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Échec de CreateGroup l'opération : le nom du groupe existe déjà
Cet CloudTrail événement indique CreateGroup l'échec d'une opération qui a entraîné ConflictException un message d'erreur"Duplicate
GroupDisplayName". Cette erreur se produit lors de la tentative de création d'un groupe dont le nom d'affichage existe déjà dans IAM Identity Center. Le fournisseur d'identité doit utiliser un nom de groupe unique ou mettre à jour le groupe existant au lieu d'en créer un nouveau.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ConflictException",
"errorMessage": "Duplicate GroupDisplayName",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Échec de PatchUser l'opération : plusieurs adresses e-mail ne sont pas prises en charge
Cet CloudTrail événement indique PatchUser l'échec d'une opération qui a entraîné ValidationException un message d'erreur"List attribute
emails exceeds allowed limit of 1". Cette erreur se produit lorsque vous essayez d'attribuer plusieurs adresses e-mail à un utilisateur, car IAM Identity Center ne prend en charge qu'une seule adresse e-mail par utilisateur. Le fournisseur d'identité doit configurer le mappage SCIM pour n'envoyer qu'une seule adresse e-mail pour chaque utilisateur.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "List attribute emails exceeds allowed limit of 1",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REPLACE",
"path": "emails",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Erreurs courantes de validation de l'API SCIM dans IAM Identity Center
Les messages d'erreur de validation suivants apparaissent généralement lors d' CloudTrail événements liés à l'utilisation de l'API SCIM avec IAM Identity Center. Ces erreurs de validation se produisent généralement lors des opérations de provisionnement des utilisateurs et des groupes.
-
L'e-mail associé à l'attribut de liste dépasse la limite autorisée de 1 -
Limite autorisée de 1 pour les adresses attributaires de la liste -
1 erreur de validation détectée : la valeur de « *Name.FamilyName* » n'a pas satisfait la contrainte : le membre doit satisfaire le modèle d'expression régulière : [\ \ p {L} \ \ p {M} \ \ p {S} \ \ p {N} \ \ p {P} \ \ t \ \ n \ \ r] + -
2 erreurs de validation détectées : la valeur de « Name.FamilyName » n'a pas satisfait la contrainte : la longueur du membre doit être supérieure ou égale à 1 ; la valeur de « Name.FamilyName » n'a pas satisfait la contrainte : le membre doit satisfaire le modèle d'expression régulière : [\ \ p {L} \ \ \ p {P} \ \ t \ \ n \ r] + -
2 erreurs de validation détectées : la valeur dans 'urn:IETF:params:scim:schemas:Extension:Enterprise:2.0:User.Manager.value' n'a pas satisfait la contrainte : le membre doit avoir une longueur supérieure ou égale à 1 ; la valeur dans 'urn:IETF:params:SCIM:Schemas:Extension:Enterprise:2.0:User.Manager.Value' n'a pas satisfait la contrainte : le membre doit satisfaire le modèle d'expression régulière : [\ \ p {L} \ \ p {M} \ \ p {S} \ \ p {N} \ \ p {P} \ \ t \\n\ \ r] + », -
JSON non valide provenant de RequestBody -
Format de filtre non valide
