As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar SAML e SCIM com o Okta e o IAM Identity Center
Você pode provisionar ou sincronizar informações de usuários e grupos do Okta para o IAM Identity Center automaticamente usando o protocolo [System for Cross-domain Identity Management (SCIM) 2.0](scim-profile-saml.md#scim-profile). Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Para configurar essa conexão no Okta, você usa seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Okta para os atributos nomeados no IAM Identity Center. Esse mapeamento compara os atributos de usuário esperados entre o IAM Identity Center e a sua conta da Okta.
O Okta oferece suporte aos seguintes recursos de provisionamento quando conectado ao IAM Identity Center por meio do SCIM:
+ Criar usuários: os usuários atribuídos à aplicação IAM Identity Center no Okta são provisionados no IAM Identity Center.
+ Atualizar atributos do usuário – As alterações de atributos para usuários atribuídos ao aplicativo IAM Identity Center no Okta são atualizadas no IAM Identity Center.
+ Desativar usuários – Os usuários que não estão atribuídos ao aplicativo IAM Identity Center no Okta são desativados no IAM Identity Center.
+ Push de grupo – Os grupos (e seus membros) no Okta são sincronizados com o IAM Identity Center.
**nota**
Para minimizar a sobrecarga administrativa no Okta e no IAM Identity Center, recomendamos que você atribua e *envie por push* para grupos em vez de usuários individuais.
+ Importar usuários — Os usuários podem ser importados do IAM Identity Center para Okta o.
**Objetivo**
Neste tutorial, você aprenderá passo a passo como configurar uma conexão SAML com o Okta IAM Identity Center. Posteriormente, você sincronizará os usuários do Okta usando o SCIM. Nesse cenário, você gerencia todos os usuários e grupos no Okta. Os usuários fazem login pelo Portal de acesso do Okta. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Okta usuário e verificará o acesso aos AWS recursos.
Os seguintes recursos são compatíveis ao se conectar Okta ao IAM Identity Center por meio do SAML:
+ Login SAML iniciado pelo IdP — Os usuários fazem login por meio do Okta portal e obtêm acesso ao IAM Identity Center.
+ Login SAML iniciado pelo SP — Os usuários acessam o portal de AWS acesso, que os redireciona para entrar pelo portal. Okta
**nota**
Você pode se cadastrar em uma conta do Okta ([teste gratuito](https://www.okta.com/free-trial/)) que tem a [aplicação IAM Identity Center](https://www.okta.com/integrations/aws-single-sign-on/) do Okta's instalada. Para produtos da Okta pagos, talvez seja necessário confirmar se sua licença do Okta é compatível com *gerenciamento do ciclo de vida* ou recursos similares que permitam o provisionamento externo. Esses recursos podem ser necessários para configurar o SCIM do Okta para o IAM Identity Center.
Se você ainda não habilitou o IAM Identity Center, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
## Considerações
+ Antes de configurar o provisionamento SCIM entre o Okta e o IAM Identity Center, é recomendável que você revise as [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
+ Todo usuário do Okta deve ter um valor especificado de **Nome**, **Sobrenome**, **Nome de usuário** e **Nome de exibição**.
+ Todo usuário do Okta tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.
+ Ao usar o Okta com o IAM Identity Center, IAM Identity Center geralmente é configurado como uma aplicação no Okta. Isso permite que você configure várias instâncias do IAM Identity Center como várias aplicações, permitindo acesso a várias organizações da AWS em uma única instância do Okta.
+ Os direitos e os atributos de perfil não são compatíveis e não podem ser sincronizados com o IAM Identity Center.
+ Atualmente não é possível usar o mesmo grupo do Okta para atribuições e envio automático de grupos. Para manter as associações dos grupos consistentes entre o Okta e o IAM Identity Center, crie um grupo separado e configure-o para enviar automaticamente os grupos para o IAM Identity Center.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e Contas da AWS por meio de regiões adicionais. Para obter mais detalhes, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md) As etapas específicas do Okta são descritas em [Oktaconfiguração para acesso a regiões adicionais](#gs-okta-multi-region)
## Etapa 1: Okta: obter os metadados SAML da sua conta da Okta
1. Faça login no Okta admin dashboard, expanda **Aplicações** e selecione **Aplicações**.
1. Na página **Applications** (Aplicações), escolha **Browse App Catalog** (Navegar pelo App Catalog).
1. Na caixa de pesquisa ** Centro de Identidade do AWS IAM**, digite e selecione o aplicativo para adicionar o aplicativo IAM Identity Center.
1. Selecione a guia **Fazer login**.
1. Em **Certificados de assinatura SAML**, selecione **Ações** e depois **Visualizar metadados do IdP.** Uma nova guia de navegador é aberta mostrando a árvore de documentos de um arquivo XML. Selecione todo o XML de `` a `` e copie-o em um arquivo de texto.
1. Salve o arquivo de texto como `metadata.xml`.
Deixe o Okta admin dashboard aberto, pois você continuará usando esse console em etapas posteriores.
## Etapa 2: IAM Identity Center: configurar o Okta como fonte de identidades para o IAM Identity Center
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon) como um usuário com privilégios administrativos.
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha **Ações** e depois **Alterar fonte de identidades**.
1. Em **Escolher fonte de identidade**, selecione **Escolher fonte de identidade** e, depois, **Próximo**.
1. Em **Configurar provedor de identidades externo**, faça o seguinte:
1. Em **Metadados do provedor** de serviços, copie os seguintes itens em um arquivo de texto para facilitar o acesso:
+ **URL do IAM Identity Center Assertion Consumer Service (ACS)** — Você pode escolher entre ACS IPv4 somente e ACS de pilha dupla. URLs Além disso, se sua instância do IAM Identity Center estiver habilitada em várias regiões, cada região adicional terá seu próprio IPv4 ACS de pilha dupla e somente. URLs Para obter mais informações sobre o ACS URLs, consulte[Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints).
+ **URL do emissor do IAM Identity Center**
Você vai precisar desses valores mais adiante neste tutorial.
1. Em **Metadados do provedor de identidades**, em **Metadados do IdP SAML**, selecione **Escolher arquivo** e selecione o arquivo `metadata.xml` que você criou no procedimento anterior.
1. Escolha **Próximo**.
1. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira **ACEITAR**.
1. Escolha **Alterar origem de identidade**.
Deixe o AWS console aberto, você continuará usando esse console na próxima etapa.
1. Volte para Okta admin dashboard e selecione a guia **Entrar do Centro de Identidade do AWS IAM aplicativo e, em** seguida, selecione **Editar**.
1. Em **Configurações avançadas de login**, insira o seguinte:
+ Para o **URL do ACS**, insira os valores que você copiou para o URL **do IAM Identity Center Assertion Consumer Service (ACS**). Você pode usar o URL do ACS da região primária como padrão para que os usuários sejam redirecionados para a região primária ao iniciarem o aplicativo Amazon Web Services a partir de. Okta
+ (Opcional) Se você replicou o IAM Identity Center para regiões adicionais, você também pode criar um aplicativo de favoritos Okta para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deOkta. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emOkta. Consulte a [Oktadocumentação](https://support.okta.com/help/s/article/create-a-bookmark-app) para obter mais detalhes. Se você planeja replicar o IAM Identity Center para outras regiões posteriormente, visite [Oktaconfiguração para acesso a regiões adicionais](#gs-okta-multi-region) para obter orientação sobre como habilitar o acesso às regiões adicionais após essa configuração inicial.
+ Em **URL do emissor**, insira o valor que você copiou para **URL do emissor do IAM Identity Center**
+ Em **Formato de nome de usuário da aplicação**, selecione uma das opções do menu.
Certifique-se de que o valor escolhido seja exclusivo de cada usuário. Para este tutorial, selecione o **Nome de usuário do Okta**
1. Escolha **Salvar**.
Agora você está pronto para provisionar usuários do Okta no IAM Identity Center. Deixe o Okta admin dashboard aberto e volte para o console do IAM Identity Center para o realizar a próxima etapa.
## Etapa 3: IAM Identity Center e Okta: provisionar usuários do Okta
1. Na página **Configurações** do console do IAM Identity Center, localize a caixa de informações **Provisionamento automático** e escolha **Habilitar**. Isso habilita o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e as informações do token de acesso.
1. Na caixa de diálogo **Provisionamento automático de entrada**, copie os valores para as seguintes opções:
1. **Endpoint SCIM** - O formato do endpoint depende da sua configuração:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Pilha dupla: https://scim. *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático no Okta mais adiante neste tutorial.
1. Escolha **Fechar**.
1. Volte para o Okta admin dashboard e navegue até a aplicação IAM Identity Center.
1. Na página **Aplicação do IAM Identity Center**, escolha a guia **Provisionamento** e, no painel de navegação esquerdo, em **Configurações**, escolha **Integração**.
1. Escolha **Editar** e marque a caixa de seleção ao lado de **Habilitar integração de API** para habilitar o provisionamento automático.
1. Configure Okta com os valores de provisionamento do SCIM Centro de Identidade do AWS IAM que você copiou anteriormente nesta etapa:
1. No campo **URL da base**, insira o valor do **Endpoint SCIM**.
1. No campo **Token da API**, insira o valor do **Token de acesso**.
1. Escolha **Testar credenciais da API** para verificar se as credenciais inseridas são válidas.
A mensagem **O Centro de Identidade do AWS IAM foi verificado com sucesso\$1** é exibida.
1. Escolha **Salvar**. Você é levado para a seção **Configurações**, com a opção **Integração** selecionada.
1. Em **Configurações**, escolha **Para aplicação** e marque a caixa de seleção **Habilitar** para cada um dos atributos de **Provisionamento para aplicação** que você deseja habilitar. Para este tutorial, selecione todas as opções.
1. Escolha **Salvar**.
Agora você está pronto para sincronizar os usuários do Okta com o IAM Identity Center.
## Etapa 4: Okta: sincronizar os usuários do Okta com o IAM Identity Center
Por padrão, nenhum usuário ou grupo está atribuído à aplicação IAM Identity Center do Okta. Os grupos de aprovisionamento provisionam os usuários que são membros do grupo. Conclua as etapas a seguir para sincronizar grupos e usuários com Centro de Identidade do AWS IAM.
1. Na página **Aplicação do IAM Identity Center do Okta**, escolha a guia **Atribuições**. Você pode atribuir pessoas e grupos à aplicação IAM Identity Center.
1. Para atribuir pessoas:
+ Na página **Atribuições**, escolha **Atribuir** e, em depois, escolha **Atribuir a pessoas**.
+ Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento de usuários para o IAM Identity Center.
1. Para atribuir grupos:
+ Na página **Atribuições**, escolha **Atribuir** e depois **Atribuir a grupos**.
+ Escolha os grupos do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento dos usuários do grupo no IAM Identity Center.
**nota**
Talvez seja necessário especificar atributos adicionais para o grupo se eles não estiverem presentes em todos os registros de usuário. Os atributos especificados para o grupo substituirão os valores dos atributos individuais.
1. Escolha a guia **Enviar por push para grupos**. Escolha o grupo do Okta que você deseja sincronizar com o IAM Identity Center. Escolha **Salvar**.
O status do grupo muda para **Ativo** depois que o grupo e seus membros são enviados automaticamente para o IAM Identity Center.
1. Volte para a guia **Atribuições**.
1. Para adicionar usuários individuais do Okta ao IAM Identity Center, use as seguintes etapas:
1. Na página **Atribuições**, escolha **Atribuir** e, em seguida, escolha **Atribuir a pessoas**.
1. Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento de usuários individuais para o IAM Identity Center.
**nota**
Você também pode atribuir usuários e grupos ao Centro de Identidade do AWS IAM aplicativo, na página **Aplicativos** doOkta admin dashboard. Para fazer isso, selecione o ícone de **Configurações** e escolha **Atribuir a usuários** ou **Atribuir a grupos** e especifique o usuário ou o grupo.
1. Volte para o console do IAM Identity Center. No painel de navegação esquerdo, selecione **Usuários**. Você deve ver a lista de usuários preenchida com seus usuários do Okta.
**Parabéns\$1**
Você configurou com êxito uma conexão SAML entre Okta e AWS e verificou se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no **IAM Identity Center**. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.
## Passagem de atributos para controle de acesso: *opcional*
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Atribuir acesso a Contas da AWS
As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.
**nota**
Para concluir essa etapa, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
### Etapa 1: IAM Identity Center: conceder aos usuários do Okta acesso a contas
1. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Em **Etapa 1: selecionar usuários e grupos**, escolha o usuário que desempenhará a função de administrador. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três sub-etapas da criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, é exibida uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Na **Etapa 3: revisar e enviar**, revise o usuário e o conjunto de permissões selecionados e escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a *AdministratorAccess* função.
### Etapa 2Okta: confirmar o acesso Okta dos usuários aos AWS recursos
1. Faça login usando uma conta de teste no Okta dashboard.
1. Em **Minhas aplicações**, selecione o ícone do Centro de Identidade do AWS IAM.
1. Você deve ver o Conta da AWS ícone. Expanda esse ícone para ver a lista Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.
1. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de **AdministratorAccess**permissões.
1. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou o acesso tanto ao acesso programático Console de gerenciamento da AWS quanto ao acesso programático. Selecione **Console de gerenciamento** para abrir o Console de gerenciamento da AWS.
1. O usuário faz login no Console de gerenciamento da AWS.
Você também pode usar o portal de AWS acesso. Isso redireciona você para entrar pelo Okta portal antes de levá-lo ao portal de AWS acesso. Esse caminho segue o fluxo de login do SAML iniciado pelo SP.
## Oktaconfiguração para acesso a regiões adicionais do IAM Identity Center - opcional
Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso aos aplicativos AWS gerenciados e Contas da AWS por meio das regiões adicionais. As etapas abaixo orientam você pelo procedimento. Para obter mais detalhes sobre esse tópico, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
1. Recupere o ACS URLs para as regiões adicionais do console do IAM Identity Center, conforme descrito em. [Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints)
1. No painel de navegação do painel de Okta administração, escolha **Aplicativos** e, em seguida, **Aplicativos** novamente na lista expandida.
1. Escolha o aplicativo do **Centro de Identidade do AWS IAM**.
1. Escolha a guia **Fazer logon**.
1. **Em Configurações avançadas de login** e Outro **SSO solicitável URLs**, escolha **Adicionar outro** para o URL do ACS de cada região adicional e cole o URL do ACS no campo de texto.
1. Quando terminar de adicionar o ACS URLs, salve o **Centro de Identidade do AWS IAM**aplicativo.
1. Você pode criar um aplicativo de favoritos Okta para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deOkta. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emOkta. Consulte a [Oktadocumentação](https://support.okta.com/help/s/article/create-a-bookmark-app) para obter mais detalhes.
1. Verifique se você pode entrar no portal de AWS acesso em cada região adicional. Navegue até o [portal de AWS acesso URLs](multi-region-workforce-access.md#portal-endpoints) ou inicie os aplicativos de Okta favoritos em.
## Próximas etapas
Agora que você configurou o Okta como provedor de identidades e provisionou usuários no IAM Identity Center, você pode:
+ Conceda acesso a Contas da AWS, veja[Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md).
+ Conceder acesso a aplicações na nuvem, consulte [Atribuir acesso de usuário às aplicações no console do IAM Identity Center](assignuserstoapp.md).
+ Configure as permissões de acordo com as funções, consulte [Criar um conjunto de permissões](howtocreatepermissionset.md).
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o Okta, consulte as seguintes seções:
+ [Reprovisionamento de usuários e grupos excluídos do IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Erro de provisionamento automático no Okta](#okta-auto-provisioning-error)
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionais do](#gs-okta-troubleshooting-resources)
### Reprovisionamento de usuários e grupos excluídos do IAM Identity Center
+ Você poderia receber a seguinte mensagem de erro no console do Okta se estivesse tentando alterar um usuário ou grupo do Okta que já foi sincronizado e depois excluído do IAM Identity Center:
+ Centro de Identidade do AWS IAM Falha no envio automático do perfil do usuário *Jane Doe* para o aplicativo: Erro ao tentar enviar a atualização do perfil para*jane\$1doe@example.com*: Nenhum usuário retornou para o usuário *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ O grupo vinculado está ausente em Centro de Identidade do AWS IAM. Altere o grupo vinculado para retomar o envio automático de associações ao grupo.
+ Você também poderia receber a seguinte mensagem de erro nos logs de sistemas do Okta para usuários ou grupos do IAM Identity Center sincronizados e excluídos:
+ Erro Okta: eventfailed application.provision.user.push\$1profile: Nenhum usuário retornou para o usuário *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Erro Okta: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: o grupo vinculado está ausente. Centro de Identidade do AWS IAM Altere o grupo vinculado para retomar o envio automático de associações ao grupo.
**Atenção**
Usuários e grupos devem ser excluídos do Okta em vez do IAM Identity Center se você tiver sincronizado o Okta com o IAM Identity Center usando SCIM.
**Solução de problemas de usuários excluídos do IAM Identity Center**
Para resolver esse problema de usuários excluídos do IAM Identity Center, os usuários devem ser excluídos do Okta. Se necessário, esses usuários também deveriam ser recriados no Okta. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um usuário, consulte a [documentação do Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**nota**
Se você precisar remover o acesso de um usuário do Okta ao IAM Identity Center, primeiro remova-o do envio automático de grupo e depois do grupo de atribuição no Okta. Isso garante que o usuário seja removido da sua associação ao grupo correspondente no IAM Identity Center. Para obter mais informações sobre solução de problemas de envio automático de grupo, consulte a [documentação do Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Solução de problemas de grupos do IAM Identity Center excluídos**
Para resolver esse problema de grupos do IAM Identity Center excluídos, os usuários devem ser excluídos do Okta. Se necessário, esses grupos também precisariam ser recriados no Okta usando o envio automático de grupo. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um grupo, consulte a [documentação do Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Erro de provisionamento automático no Okta
Se você recebeu um a seguinte mensagem de erro no Okta:
Falha no provisionamento automático da usuária Jane Doe para o aplicativo: usuário correspondente Centro de Identidade do AWS IAM não encontrado
Consulte a [documentação do Okta](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) para obter mais informações.
### Recursos adicionais do
+ Para obter dicas de solução de problemas em geral, consulte [Solução de problemas do IAM Identity Center](troubleshooting.md).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico