Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Verifica e riconcilia le risorse con provisioning automatico
<a name="reconcile-auto-provisioning"></a>

SCIM ti consente di effettuare automaticamente il provisioning di utenti, gruppi e appartenenze ai gruppi dalla tua fonte di identità a IAM Identity Center. Questa guida ti aiuta a verificare e riconciliare queste risorse per mantenere una sincronizzazione accurata.

## Perché controllare le tue risorse?
<a name="reconcile-auto-provisioning-why-audit"></a>

Un controllo regolare aiuta a garantire che i controlli di accesso rimangano accurati e che il tuo provider di identità (IdP) rimanga correttamente sincronizzato con IAM Identity Center. Ciò è particolarmente importante per la conformità alla sicurezza e la gestione degli accessi.

Risorse che puoi controllare:
+ Utenti
+ Gruppi
+ Appartenenze ai gruppi

 È possibile utilizzare i [comandi AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)o CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) per eseguire il controllo e la riconciliazione. Negli esempi seguenti vengono utilizzati AWS CLI i comandi. Per le alternative alle API, fai riferimento alle [operazioni corrispondenti](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) nel *riferimento all'API di Identity Store*. 

## Come controllare le risorse
<a name="how-to-audit-resources"></a>

Ecco alcuni esempi su come controllare queste risorse utilizzando AWS CLI i comandi.

Prima di iniziare, assicurati di disporre dei seguenti elementi:
+ Accesso dell'amministratore a IAM Identity Center.
+ AWS CLI installato e configurato. Per informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorizzazioni IAM richieste per i comandi Identity Store.

### Fase 1: Elenca le risorse correnti
<a name="list-current-resources"></a>

È possibile visualizzare le risorse correnti utilizzando il AWS CLI.

**Nota**  
 Quando si utilizza AWS CLI, l'impaginazione viene gestita automaticamente a meno che non venga specificato. `--no-paginate` Se stai chiamando direttamente l'API (ad esempio, con un SDK o uno script personalizzato), gestiscila `NextToken` nella risposta. In questo modo puoi recuperare tutti i risultati su più pagine. 

**Example per gli utenti**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example per gruppi**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example per appartenenze a gruppi**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### Fase 2: confrontalo con la fonte della tua identità
<a name="compare-idenity-source"></a>

Confronta le risorse elencate con la tua fonte di identità per identificare eventuali discrepanze, ad esempio:
+ Risorse mancanti che devono essere fornite in IAM Identity Center.
+ Risorse aggiuntive che devono essere rimosse da IAM Identity Center.

**Example per gli utenti**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example per gruppi**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example per appartenenze a gruppi**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## Considerazioni
<a name="audit-resources-consideratons"></a>
+ I comandi sono soggetti alle [quote di servizio e alla limitazione delle API](limits.md#ssothrottlelimits).
+ Se riscontri molte differenze durante la riconciliazione, apporta piccole modifiche graduali a Identity Store. AWS Questo ti aiuta a evitare errori che riguardano più utenti.
+ La sincronizzazione SCIM può ignorare le modifiche manuali. Controlla le impostazioni del tuo IdP per comprendere questo comportamento.