Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencatat panggilan API SCIM Pusat Identitas IAM dengan AWS CloudTrail
IAM Identity Center SCIM terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau. Layanan AWS CloudTrail menangkap panggilan API untuk SCIM sebagai peristiwa. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. Untuk mempelajari selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna.
catatan
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Namun, Anda mungkin perlu memutar token akses Anda untuk melihat peristiwa dari SCIM, jika token Anda dibuat sebelum September 2024.
Untuk informasi selengkapnya, lihat Putar token akses.
SCIM mendukung pencatatan untuk operasi berikut sebagai peristiwa di CloudTrail:
Contoh CloudTrail peristiwa
Contoh berikut menunjukkan log CloudTrail peristiwa khas yang dihasilkan selama operasi SCIM dengan IAM Identity Center. Contoh-contoh ini menunjukkan struktur dan isi peristiwa untuk operasi yang berhasil dan skenario kesalahan umum, membantu Anda memahami cara menafsirkan CloudTrail log saat memecahkan masalah penyediaan SCIM.
CreateUserOperasi yang berhasil
CloudTrail Acara ini menunjukkan CreateUser operasi yang berhasil dilakukan melalui SCIM API. Acara menangkap parameter permintaan (dengan informasi sensitif tertutup) dan elemen respons, termasuk ID pengguna yang baru dibuat. Jenis peristiwa ini dihasilkan ketika penyedia identitas berhasil memberikan pengguna baru ke Pusat Identitas IAM menggunakan protokol SCIM.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "WebIdentityUser",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": {
"meta" : {
"created" : "Oct 10, 2024, 1:23:45 PM",
"lastModified" : "Oct 10, 2024, 1:23:45 PM",
"resourceType" : "User"
},
"displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}PatchGroupOperasi gagal: Atribut jalur yang diperlukan tidak ada
CloudTrail Peristiwa ini menunjukkan PatchGroup operasi gagal yang mengakibatkan ValidationException dengan pesan kesalahan"Missing path in
PATCH request". Kesalahan terjadi karena PATCH operasi memerlukan atribut jalur untuk menentukan atribut grup mana yang akan dimodifikasi, tetapi atribut ini hilang dari permintaan.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "Missing path in PATCH request",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REMOVE",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
CreateGroupOperasi gagal: Nama grup sudah ada
CloudTrail Peristiwa ini menunjukkan CreateGroup operasi gagal yang mengakibatkan ConflictException dengan pesan kesalahan"Duplicate
GroupDisplayName". Kesalahan ini terjadi ketika mencoba membuat grup dengan nama tampilan yang sudah ada di IAM Identity Center. Penyedia identitas harus menggunakan nama grup unik atau memperbarui grup yang ada alih-alih membuat yang baru.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ConflictException",
"errorMessage": "Duplicate GroupDisplayName",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
PatchUserOperasi gagal: Beberapa alamat email tidak didukung
CloudTrail Peristiwa ini menunjukkan PatchUser operasi gagal yang mengakibatkan ValidationException dengan pesan kesalahan"List attribute
emails exceeds allowed limit of 1". Kesalahan ini terjadi saat mencoba menetapkan beberapa alamat email ke pengguna, karena Pusat Identitas IAM hanya mendukung satu alamat email per pengguna. Penyedia identitas harus mengonfigurasi pemetaan SCIM untuk mengirim hanya satu alamat email untuk setiap pengguna.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "List attribute emails exceeds allowed limit of 1",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REPLACE",
"path": "emails",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Kesalahan validasi API SCIM umum di IAM Identity Center
Pesan galat validasi berikut biasanya muncul dalam CloudTrail peristiwa saat menggunakan SCIM API dengan IAM Identity Center. Kesalahan validasi ini biasanya terjadi selama operasi penyediaan pengguna dan grup.
-
Email atribut daftar melebihi batas yang diizinkan 1 -
Alamat atribut daftar diperbolehkan batas 1 -
1 kesalahan validasi terdeteksi: Nilai pada '*name.familyName*' gagal memenuhi kendala: Anggota harus memenuhi pola ekspresi reguler: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\ n\\ r] + -
2 kesalahan validasi terdeteksi: Nilai di 'name.familyName' gagal memenuhi batasan: Anggota harus memiliki panjang lebih besar dari atau sama dengan 1; Nilai pada 'name.familyName' gagal memenuhi kendala: Anggota harus memenuhi pola ekspresi reguler: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\\\\ n\\ r] + -
2 kesalahan validasi terdeteksi: Nilai pada 'urn:IETF: Params:scim:schemas:extension:enterprise:2.0:user.manager.value' gagal memenuhi kendala: Anggota harus memiliki panjang lebih besar dari atau sama dengan 1; Nilai pada 'urn:IETF:params:scim:schemas:extension:enterprise:2.0:user.manager.value' gagal memenuhi kendala: Anggota harus memenuhi pola ekspresi reguler: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ r] +”, -
JSON tidak valid dari RequestBody -
Format Filter Tidak Valid
