Registrazione delle chiamate API SCIM di IAM Identity Center con AWS CloudTrail - AWS IAM Identity Center
Eventi di esempio CloudTrail Errori comuni di convalida dell'API SCIM in IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle chiamate API SCIM di IAM Identity Center con AWS CloudTrail

IAM Identity Center SCIM è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un. Servizio AWS CloudTrail acquisisce le chiamate API per SCIM come eventi. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare le informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.

Nota

CloudTrail è abilitato sul tuo Account AWS quando crei l'account. Tuttavia, potrebbe essere necessario ruotare il token di accesso per visualizzare gli eventi di SCIM, se il token è stato creato prima di settembre 2024.

Per ulteriori informazioni, consulta Ruota un token di accesso.

SCIM supporta la registrazione delle seguenti operazioni come eventi in: CloudTrail

Eventi di esempio CloudTrail

Gli esempi seguenti mostrano i registri CloudTrail degli eventi tipici generati durante le operazioni SCIM con IAM Identity Center. Questi esempi mostrano la struttura e il contenuto degli eventi per operazioni di successo e scenari di errore comuni, aiutandoti a capire come interpretare CloudTrail i log durante la risoluzione dei problemi di provisioning SCIM.

Operazione riuscita CreateUser

Questo CloudTrail evento mostra un'CreateUseroperazione riuscita eseguita tramite l'API SCIM. L'evento acquisisce sia i parametri della richiesta (con informazioni sensibili mascherate) sia gli elementi di risposta, incluso l'ID dell'utente appena creato. Questo tipo di evento viene generato quando un provider di identità fornisce correttamente un nuovo utente a IAM Identity Center utilizzando il protocollo SCIM.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

PatchGroupOperazione non riuscita: attributo di percorso richiesto mancante

Questo CloudTrail evento mostra un'PatchGroupoperazione non riuscita che ha ValidationException provocato un messaggio di errore"Missing path in PATCH request". L'errore si è verificato perché l'PATCHoperazione richiede un attributo path per specificare l'attributo di gruppo da modificare, ma questo attributo non era presente nella richiesta.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

CreateGroupOperazione non riuscita: il nome del gruppo esiste già

Questo CloudTrail evento mostra un'CreateGroupoperazione non riuscita che ha ConflictException provocato un messaggio di errore"Duplicate GroupDisplayName". Questo errore si verifica quando si tenta di creare un gruppo con un nome visualizzato già esistente in IAM Identity Center. Il provider di identità deve utilizzare un nome di gruppo univoco o aggiornare il gruppo esistente invece di crearne uno nuovo.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

PatchUserOperazione non riuscita: indirizzi e-mail multipli non supportati

Questo CloudTrail evento mostra un'PatchUseroperazione non riuscita che ha ValidationException provocato un messaggio di errore"List attribute emails exceeds allowed limit of 1". Questo errore si verifica quando si tenta di assegnare più indirizzi e-mail a un utente, poiché IAM Identity Center supporta solo un indirizzo e-mail per utente. Il provider di identità deve configurare la mappatura SCIM per inviare un solo indirizzo e-mail per ogni utente.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Errori comuni di convalida dell'API SCIM in IAM Identity Center

I seguenti messaggi di errore di convalida compaiono comunemente negli CloudTrail eventi quando si utilizza l'API SCIM con IAM Identity Center. Questi errori di convalida si verificano in genere durante le operazioni di provisioning di utenti e gruppi.

Per una guida dettagliata sulla risoluzione di questi errori e sulla corretta configurazione del provisioning SCIM, consulta questo articolo.AWS re:Post

  • L'attributo di elenco email supera il limite consentito di 1

  • Il limite consentito per gli indirizzi degli attributi di elenco è 1

  • Sono stati rilevati 1 errore di convalida: il valore corrispondente a '*name.familyName*' non è riuscito a soddisfare il vincolo: il membro deve soddisfare il modello di espressione regolare: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ r] +

  • Sono stati rilevati 2 errori di convalida: il valore in 'Name.FamilyName' non è riuscito a soddisfare il vincolo: il membro deve avere una lunghezza maggiore o uguale a 1; il valore in 'nome.FamilyName' non è riuscito a soddisfare il vincolo: il membro deve soddisfare il modello di espressione regolare: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ n\ r] +

  • 2 errori di convalida rilevati: il valore in 'URN:IETF:params:SCIM:schemas:Extension:enterprise:2.0:user.manager.value' non è riuscito a soddisfare il vincolo: il membro deve avere una lunghezza maggiore o uguale a 1; il valore in 'urn:IETF:params:SCIM:schemas:Extension:enterprise:2.0:user.manager.value' non è riuscito a soddisfare il vincolo: Member must soddisfare il modello di espressione regolare: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ r] +»,

  • JSON non valido da RequestBody

  • Formato di filtro non valido