Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione delle chiamate API SCIM di IAM Identity Center con AWS CloudTrail
Centro identità IAM è integrato con AWS CloudTrail, un servizio che offre un record delle operazioni eseguite da un utente, da un ruolo o da un Servizio AWS. CloudTrail acquisisce le chiamate API per SCIM come eventi. Le informazioni raccolte da consentono CloudTrail di determinare le informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.
Nota
CloudTrail è abilitato sul tuo al Account AWS momento della sua creazione. Tuttavia, potrebbe essere necessario ruotare il token di accesso per poter vedere gli eventi di SCIM, se il token è stato creato prima di settembre 2024.
Per ulteriori informazioni, consulta Ruota un token di accesso.
SCIM supporta la registrazione delle seguenti operazioni come eventi in: CloudTrail
Esempi
Di seguito sono elencati alcuni esempi di CloudTrail eventi.
Esempio 1: evento derivante da una CreateUser chiamata riuscita.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "WebIdentityUser",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": {
"meta" : {
"created" : "Oct 10, 2024, 1:23:45 PM",
"lastModified" : "Oct 10, 2024, 1:23:45 PM",
"resourceType" : "User"
},
"displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}Esempio 2: evento che PatchGroup genera un messaggio Missing path in PATCH request di errore dovuto al percorso mancante.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "Missing path in PATCH request",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REMOVE",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Esempio 3: Evento generato da una CreateGroup chiamata che genera un messaggio di Duplicate GroupDisplayName errore poiché esiste il nome del gruppo che sta tentando di creare.
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ConflictException",
"errorMessage": "Duplicate GroupDisplayName",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
Esempio 4: evento generato da una PatchUser chiamata che genera un messaggio List attribute emails exceeds allowed limit of 1 error di errore. Gli utenti possono avere un solo indirizzo e-mail.
{ "eventVersion": "1.10", "userIdentity": { "type": "Unknown", "accountId": "123456789012", "accessKeyId": "xxxx" }, "eventTime": "xxxx", "eventSource": "identitystore-scim.amazonaws.com", "eventName": "PatchUser", "awsRegion": "us-east-1", "sourceIPAddress": "xxx.xxx.xxx.xxx", "userAgent": "Go-http-client/2.0", "errorCode": "ValidationException", "errorMessage": "List attribute emails exceeds allowed limit of 1", "requestParameters": { "httpBody": { "operations": [ { "op": "REPLACE", "path": "emails", "value": "HIDDEN_DUE_TO_SECURITY_REASONS" } ], "schemas": [ "HIDDEN_DUE_TO_SECURITY_REASONS" ] }, "tenantId": "xxxx", "id": "xxxx" }, "responseElements": null, "requestID": "xxxx", "eventID": "xxxx", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com" } }
Messaggi di errore comuni
Di seguito sono riportati i messaggi di errore di convalida più comuni che puoi ricevere negli CloudTrail eventi per le chiamate API SCIM di IAM Identity Center:
-
L'attributo di elenco email supera il limite consentito di 1 -
Il limite consentito per gli indirizzi degli attributi di elenco è 1 -
1 errore di convalida rilevato: il valore in '*Name.familyName*' non è riuscito a soddisfare il vincolo: il membro deve soddisfare il modello di espressione regolare: [\\\\\\\\\\\\\\\\ p {N}\\\\\\\ p {p}\\\\\\\\\\\\\\\\\ p {p}\\\\\\\\\\\\\\\\\\\\\\\ p {p}\\\\\\\\\\\\\\\\\\\\\\\\\\\ -
Sono stati rilevati 2 errori di convalida: il valore in 'Name.FamilyName' non è riuscito a soddisfare il vincolo: il membro deve avere una lunghezza maggiore o uguale a 1; il valore in 'Nome.familyName' non è riuscito a soddisfare il vincolo: il membro deve soddisfare il modello di espressione regolare: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ n\ r] + -
2 errori di convalida rilevati: il valore in 'URN:IETF:params:SCIM:schemas:Extension:enterprise:2.0:user.manager.value' non è riuscito a soddisfare il vincolo: il membro deve avere una lunghezza maggiore o uguale a 1; il valore in 'urn:IETF:params:SCIM:schemas:Extension:enterprise:2.0:user.manager.value' non è riuscito a soddisfare il vincolo: Member must soddisfare il modello di espressione regolare: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\ n\\ r] +», -
JSON non valido da RequestBody -
Formato di filtro non valido
