本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 IAM Identity Center 問題進行故障診斷
<a name="troubleshooting"></a>

以下可協助您疑難排解在設定或使用 IAM Identity Center 主控台時可能遇到的一些常見問題。

## 建立 IAM Identity Center 帳戶執行個體的問題
<a name="issue-account-instances"></a>

建立 IAM Identity Center 的帳戶執行個體時，可能會有幾項限制。如果您無法透過 IAM Identity Center 主控台或受支援 AWS 受管應用程式的設定體驗建立帳戶執行個體，請驗證下列使用案例：
+ 檢查您嘗試在 AWS 帳戶 其中建立帳戶執行個體的 AWS 區域 中的其他 。每個執行個體僅限一個 IAM Identity Center 執行個體 AWS 帳戶。若要啟用應用程式，請使用 IAM Identity Center AWS 區域 執行個體切換到 ，或切換到沒有 IAM Identity Center 執行個體的帳戶。
+ 如果您的組織在 2023 年 9 月 14 日之前啟用 IAM Identity Center，您的管理員可能需要選擇加入帳戶執行個體建立。與您的管理員合作，從管理帳戶中的 IAM Identity Center 主控台啟用帳戶執行個體建立。
+ 您的管理員可能已建立服務控制政策，以限制建立 IAM Identity Center 的帳戶執行個體。與您的管理員合作，將您的帳戶新增至允許清單。

## 當您嘗試檢視已預先設定為與 IAM Identity Center 搭配使用的雲端應用程式清單時，會收到錯誤
<a name="issue-account-instance-applications"></a>

當您的政策允許`sso:ListApplications`但不允許其他 IAM Identity Center APIs 時，會發生以下錯誤。更新您的政策以解決此錯誤。

`ListApplications` 許可會授權多個 APIs：
+ `ListApplications` API。
+ 與 IAM Identity Center 主控台中使用的 API 類似的內部 `ListApplicationProviders` API。

為了協助解決重複問題，內部 API 現在也會授權使用 `ListApplicationProviders`動作。若要允許公有 `ListApplications` API 但拒絕內部 API，您的政策必須包含拒絕`ListApplicationProviders`動作的陳述式：

```
      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "{{<instanceArn>}}" // (or "*" for all instances)
    }
]
```

若要允許內部 API 但拒絕 `ListApplications`，政策只需要允許 `ListApplicationProviders`。如果未明確允許，則會拒絕 `ListApplications` API。

```
      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]
```

當您的政策更新時，請聯絡 支援 以移除此主動措施。

## IAM Identity Center 建立的 SAML 聲明內容相關問題
<a name="issue1"></a>

從存取 AWS 入口網站存取 AWS 帳戶 和 SAML 應用程式時，IAM Identity Center 為 IAM Identity Center 建立和傳送的 SAML 聲明提供以 Web 為基礎的偵錯體驗，包括這些聲明中的屬性。若要查看 IAM Identity Center 產生的 SAML 聲明的詳細資訊，請使用下列步驟。

1. 登入 AWS 存取入口網站。

1. 當您登入入口網站時，請按住 **Shift** 鍵，選擇應用程式圖磚，然後釋放 **Shift** 鍵。

1. 檢查標題為**您目前處於管理員模式**的頁面上的資訊。若要保留此資訊以供日後參考，請選擇**複製 XML**，然後將內容貼到其他位置。

1. 選擇**傳送至 <application>** 以繼續。此選項會將聲明傳送給服務提供者。

**注意**  
有些瀏覽器組態和作業系統可能不支援此程序。此程序已在 Windows 10 上使用 Firefox、Chrome 和 Edge 瀏覽器進行測試。

## 特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center
<a name="issue2"></a>

如果您的身分提供者 (IdP) 設定為使用 SCIM 同步將使用者佈建至 IAM Identity Center，您可能會在使用者佈建程序期間遇到同步失敗。這可能表示 IdP 中的使用者組態與 IAM Identity Center 要求不相容。發生這種情況時，IAM Identity Center SCIM APIs 會傳回錯誤訊息，提供問題的根本原因洞察。您可以在 IdP 的日誌或 UI 中找到這些錯誤訊息。或者，您可以在[AWS CloudTrail 日誌](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/tutorial-event-history.html)中找到有關佈建失敗的詳細資訊。

如需 IAM Identity Center SCIM 實作的詳細資訊，包括必要、選用和不支援的使用者物件參數和操作的規格，請參閱 [SCIM 開發人員指南中的 IAM Identity Center SCIM 實作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)*開發人員指南*

以下是此錯誤的一些常見原因：

1. IdP 中的使用者物件缺少第一個 （名字） 名稱、最後一個 （家庭） 名稱和/或顯示名稱。

   **錯誤訊息：**「偵測到 2 個驗證錯誤：{{'name.givenName'}} 的值無法滿足限制條件：成員必須滿足規則表達式模式：【\\\\p{L}\\\\p{M}\\\\p{S}\\\\p{N}\\\\p{P}\\\\t\\\\n\\\\r 】＋；{{'name.givenName'}} 的值無法滿足限制條件：成員的長度必須大於或等於 1"

   1. **解決方案：**新增使用者物件的第一個 （名字）、最後一個 （家庭） 和顯示名稱。此外，請確定 IdP 中使用者物件的 SCIM 佈建映射已設定為傳送所有這些屬性的非空值。

1. 正在為使用者傳送多個單一屬性的值 （也稱為「多值屬性」)。例如，使用者可能同時擁有 IdP 中指定的工作和住家電話號碼，或多個電子郵件或實體地址，而您的 IdP 設定為嘗試同步該屬性的多個或所有值。

   **錯誤訊息：**「列出屬性{{電子郵件}}超過允許的 1 限制」

   1. **解決方案選項：**

     1. 更新 IdP 中使用者物件的 SCIM 佈建映射，以僅傳送指定屬性的單一值。例如，設定僅傳送每個使用者工作電話號碼的映射。

     1. 如果可以安全地從 IdP 的使用者物件中移除其他屬性，您可以移除其他值，為該使用者設定該屬性的一或零值。

     1. 如果 中的任何動作不需要 屬性 AWS，請從 IdP 中使用者物件的 SCIM 佈建映射中移除該屬性的映射。

1. 您的 IdP 正在嘗試根據多個屬性來比對目標 (IAM Identity Center，在此案例中為 ) 中的使用者。由於使用者名稱在指定的 IAM Identity Center 執行個體中保證是唯一的，因此您只需將 指定`username`為用於比對的屬性。

   1. **解決方案：**確保 IdP 中的 SCIM 組態僅使用單一屬性與 IAM Identity Center 中的使用者進行比對。例如，將 IdP `userPrincipalName`中的 `username`或 映射至 SCIM 中的 `userName` 屬性，以佈建至 IAM Identity Center 將是正確且足以進行大多數實作。

## 使用外部身分提供者佈建使用者或群組時發生重複的使用者或群組錯誤
<a name="duplicate-user-group-idp"></a>

如果您在外部身分提供者 (IdP) 中佈建使用者或群組時遇到 IAM Identity Center 同步問題，可能是因為您的外部 IdP 使用者或群組沒有唯一的屬性值。您可能會在外部 IdP 中收到下列錯誤訊息：

拒絕建立新的重複資源

在下列案例中，您可能會遇到此問題：
+ **案例 1**
  + 您正在外部 IdP 中使用自訂的非唯一屬性，以取得在 IAM Identity Center 中必須是唯一的屬性。現有的 IAM Identity Center 使用者或群組無法同步到您的 IdP。
+ **案例 2**
  + 您嘗試建立具有重複屬性的使用者，這些屬性在 IAM Identity Center 中必須是唯一的。
    + 例如，您建立或擁有具有下列屬性的現有 IAM Identity Center 使用者：
      + **使用者名稱：**Jane Doe
      + **主要電子郵件地址：** `jane_doe@example.com`
    + 然後，您嘗試在外部 IdP 中建立具有下列屬性的另一個使用者：
      + **使用者名稱：**Richard Doe
      + **主要電子郵件地址：** `jane_doe@example.com`
        + 外部 IdP 會嘗試同步並在 IAM Identity Center 中建立使用者。不過，這些動作會失敗，因為兩個使用者的主要電子郵件地址都有重複值，且必須是唯一的。

使用者名稱、主要電子郵件地址和 externalID 必須是唯一的，您的外部 IdP 使用者才能成功同步到 IAM Identity Center。同樣地，群組名稱必須是唯一的，外部 IdP 群組才能成功同步到 IAM Identity Center。

解決方案是檢閱您的身分來源的屬性，並確保它們是唯一的。

## 當使用者的使用者名稱為 UPN 格式時，使用者無法登入
<a name="issue3"></a>

使用者可能無法根據登入頁面上用來輸入使用者名稱的格式登入 AWS 存取入口網站。在大部分情況下，使用者可以使用其純使用者名稱、下層登入名稱 (DOMAIN\\UserName) 或其 UPN 登入名稱 () 來登入使用者入口網站`UserName@Corp.Example.com`。IAM Identity Center 使用已透過 MFA 啟用的連線目錄，且驗證模式已設定為**內容感知**或**永遠開啟**時，就會發生這種情況。在此案例中，使用者必須使用其下層登入名稱 (DOMAIN\\UserName) 登入。如需詳細資訊，請參閱[MFA for Identity Center 目錄使用者](enable-mfa.md)。如需用於登入 Active Directory 之使用者名稱格式的一般資訊，請參閱 Microsoft 文件網站上的[使用者名稱格式](https://docs.microsoft.com/en-us/windows/desktop/secauthn/user-name-formats)。

## 我在修改 IAM 角色時收到「無法對受保護角色執行操作」錯誤
<a name="issue4"></a>

檢閱帳戶中的 IAM 角色時，您可能會注意到以「AWSReservedSSO\_」開頭的角色名稱。這些是 IAM Identity Center 服務在帳戶中建立的角色，它們來自將許可集指派給帳戶。嘗試從 IAM 主控台修改這些角色將導致下列錯誤：

```
'Cannot perform the operation on the protected role 'AWSReservedSSO_{{RoleName_Here}}' - this role is only modifiable by AWS'
```

這些角色只能從位於 管理帳戶中的 IAM Identity Center 管理員主控台修改 AWS Organizations。修改後，您可以將變更向下推送至 AWS 其指派的帳戶。

## 目錄使用者無法重設密碼
<a name="issue5"></a>

當目錄使用者使用**忘記密碼重設密碼時？** 登入 AWS 存取入口網站時的 選項，其新密碼必須遵循預設密碼政策，如 中所述[在 IAM Identity Center 中管理身分時的密碼需求](password-requirements.md)。

如果使用者輸入遵循政策的密碼，然後收到錯誤 `We couldn't update your password`，請檢查 是否 AWS CloudTrail 記錄失敗。這可以透過使用下列篩選條件在 CloudTrail 的事件歷史記錄主控台中搜尋來完成：

```
"UpdatePassword"
```

如果訊息陳述以下內容，則您可能需要聯絡 支援：

```
"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“
```

此問題的另一個可能原因是在套用到使用者名稱值的命名慣例中。命名慣例必須遵循特定模式，例如 'surname.givenName'。不過，某些使用者名稱可能很長，或包含特殊字元，這可能會導致 API 呼叫中捨棄字元，進而導致錯誤。您可能想要以相同的方式嘗試測試使用者重設密碼，以驗證是否為這種情況。

如果問題仍然存在，請聯絡[AWS 支援中心](https://console.aws.amazon.com/support/home#/)。

## 許可集中會參考我的使用者，但無法存取指派的帳戶或應用程式
<a name="issue6"></a>

如果您使用 System for Cross-domain Identity Management (SCIM) 搭配外部身分提供者進行自動佈建，可能會發生此問題。具體而言，當刪除使用者或使用者所屬的群組，然後在身分提供者中使用相同的使用者名稱 （適用於使用者） 或名稱 （適用於群組） 重新建立時，會為 IAM Identity Center 中的新使用者或群組建立新的唯一內部識別符。不過，IAM Identity Center 在其許可資料庫中仍有舊識別符的參考，因此使用者或群組的名稱仍會出現在 UI 中，但存取失敗。這是因為 UI 參考的基礎使用者或群組 ID 不再存在。

若要還原在此情況下的 AWS 帳戶 存取權，您可以從最初指派的 AWS 帳戶（多個） 移除舊使用者或群組的存取權，然後將存取權重新指派給使用者或群組。這會更新具有新使用者或群組正確識別符的許可集。同樣地，若要還原應用程式存取，您可以從該應用程式指派的使用者清單中移除使用者或群組的存取，然後再次新增使用者或群組。

您也可以在 CloudTrail 日誌中搜尋參照有問題之使用者或群組名稱的 SCIM 同步事件，以查看是否已 AWS CloudTrail 記錄失敗。

## 我無法從應用程式目錄正確設定我的應用程式
<a name="issue7"></a>

如果您從 IAM Identity Center 中的應用程式目錄新增應用程式，請注意每個服務供應商都提供自己的詳細文件。您可以從 IAM Identity Center 主控台中應用程式的**組態**索引標籤存取此資訊。

如果問題與設定服務供應商應用程式和 IAM Identity Center 之間的信任有關，請務必檢查說明手冊中的故障診斷步驟。

## 錯誤 「使用者嘗試使用外部身分提供者登入時發生非預期錯誤」
<a name="issue8"></a>

此錯誤可能有多種原因，但其中一個常見原因是 SAML 請求中傳送的使用者資訊與 IAM Identity Center 中使用者的資訊不相符。

為了讓 IAM Identity Center 使用者在使用外部 IdP 做為身分來源時成功登入，下列項目必須是 true：
+ SAML nameID 格式 （在您的身分提供者設定） 必須為「電子郵件」
+ nameID 值必須是正確 (RFC2822) 格式的字串 (user@domain.com)
+ nameID 值必須與 IAM Identity Center 中現有使用者的使用者名稱完全相符 (IAM Identity Center 中的電子郵件地址是否相符並不重要 – 傳入比對是根據使用者名稱）
+  SAML 2.0 聯合的 IAM Identity Center 實作在身分提供者和 IAM Identity Center 之間的 SAML 回應中僅支援 1 個聲明。它不支援加密的 SAML 聲明。
+ 如果在 IAM Identity Center 帳戶中啟用 [存取控制的屬性](attributesforaccesscontrol.md)，則適用下列陳述式：
  + SAML 請求中映射的屬性數目必須為 50 個或更少。
  + SAML 請求不得包含多值屬性。
  + SAML 請求不得包含具有相同名稱的多個屬性。
  + 屬性不得包含結構化 XML 做為 值。
  + 名稱格式必須是 SAML 指定的格式，而非一般格式。

**注意**  
IAM Identity Center 不會透過 SAML 聯合為新使用者或群組「即時」建立使用者或群組。這表示使用者必須在 IAM Identity Center 中手動或透過自動佈建預先建立，才能登入 IAM Identity Center。

當身分提供者中設定的宣告消費者服務 (ACS) 端點不符合 IAM Identity Center 執行個體提供的 ACS URL 時，也會發生此錯誤。確定這兩個值完全相符。

此外，您可以前往 AWS CloudTrail 並篩選事件名稱 **ExternalIdPDirectoryLogin**，進一步疑難排解外部身分提供者登入失敗。

## 錯誤 '存取控制的屬性無法啟用'
<a name="issue9"></a>

如果啟用 ABAC 的使用者沒有啟用 所需的`iam:UpdateAssumeRolePolicy`許可，可能會發生此錯誤[存取控制的屬性](attributesforaccesscontrol.md)。

## 當我嘗試為 MFA 註冊裝置時，會收到「瀏覽器不受支援」訊息
<a name="issue10"></a>

Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari Web 瀏覽器，以及 Windows 10 和 Android 平台目前支援 WebAuthn。WebAuthn 支援的某些元件可能有所不同，例如跨 macOS 和 iOS 瀏覽器的平台驗證器支援。如果使用者嘗試在不支援的瀏覽器或平台上註冊 WebAuthn 裝置，他們會看到某些顯示為灰色且不支援的選項，或者會收到不支援所有支援方法的錯誤。在這些情況下，請參閱 [FIDO2：Web Authentication (WebAuthn)](https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/)，以取得瀏覽器/平台支援的詳細資訊。如需 IAM Identity Center 中 WebAuthn 的詳細資訊，請參閱 [FIDO2 驗證器](mfa-types.md#mfa-types-fido2)。

## Active Directory「網域使用者」群組未正確同步至 IAM Identity Center
<a name="issue11"></a>

Active Directory 網域使用者群組是 AD 使用者物件的預設「主要群組」。IAM Identity Center 無法讀取 Active Directory 主要群組及其成員資格。將存取權指派給 IAM Identity Center 資源或應用程式時，請使用網域使用者群組 （或指派為主要群組的其他群組） 以外的群組，讓群組成員資格正確反映在 IAM Identity Center 身分存放區中。

## 無效的 MFA 登入資料錯誤
<a name="issue12"></a>

當使用者嘗試使用外部身分提供者的帳戶 （例如， Okta或 Microsoft Entra ID) 登入 IAM Identity Center，再使用 SCIM 通訊協定將帳戶完全佈建至 IAM Identity Center 時，可能會發生此錯誤。將使用者帳戶佈建至 IAM Identity Center 之後，應該解決此問題。確認帳戶已佈建至 IAM Identity Center。如果沒有，請檢查外部身分提供者中的佈建日誌。

## 當我嘗試使用驗證器應用程式註冊或登入時，收到「發生非預期的錯誤」訊息
<a name="issue13"></a>

時間型一次性密碼 (TOTP) 系統，例如 IAM Identity Center 與程式碼型驗證器應用程式搭配使用的系統，依賴用戶端和伺服器之間的時間同步。請確定安裝驗證器應用程式的裝置已正確同步至可靠的時間來源，或手動設定裝置上的時間以符合可靠的來源，例如 NIST ([https://www.time.gov/](https://www.time.gov/)) 或其他本機/區域對等項目。

## 我收到 '這不是您，這是嘗試登入 IAM Identity Center 時的錯誤
<a name="issue14"></a>

此錯誤表示您的 IAM Identity Center 執行個體或外部身分提供者 (IdP) IAM Identity Center 正在使用 做為其身分來源時發生設定問題。我們建議您驗證下列項目：
+ 驗證您用來登入之裝置上的日期和時間設定。建議您將日期和時間設定為自動設定。如果無法使用，建議您將日期和時間同步到已知的網路時間通訊協定 (NTP) 伺服器。
+ 確認上傳至 IAM Identity Center 的 IdP 憑證與 IdP 提供的憑證相同。您可以導覽至**設定**，從 IAM Identity Center 主控台檢查憑證。在**身分來源**索引標籤中，選擇**動作**，然後選擇**管理身分驗證**。如果 IdP 和 IAM Identity Center 憑證不相符，請將新憑證匯入 IAM Identity Center。
+ 請確定身分提供者中繼資料檔案中的 NameID 格式如下：
  + `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ 如果您使用 AD Connector 從 AWS Directory Service 做為身分提供者，請確認服務帳戶的登入資料正確且尚未過期。如需詳細資訊，請參閱[在 中更新您的 AD Connector 服務帳戶登入 AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_creds.html)資料。

## 我的使用者未收到來自 IAM Identity Center 的電子郵件
<a name="issue15"></a>

IAM Identity Center 服務傳送的所有電子郵件都將來自地址`no-reply@signin.aws`或 `no-reply@login.awsapps.com`。必須設定您的郵件系統，使其接受來自這些寄件者電子郵件地址的電子郵件，並且不會將其視為垃圾郵件或垃圾郵件處理。

## 錯誤：您無法delete/modify/remove/指派對管理帳戶中佈建之許可集的存取權
<a name="issue16"></a>

此訊息表示[委派的管理](delegated-admin.md)已啟用此功能，且您先前嘗試的操作只能由具有管理帳戶許可的人員成功執行 AWS Organizations。若要解決此問題，請以具有這些許可的使用者身分登入，然後嘗試再次執行任務，或將此任務指派給具有正確許可的人員。如需詳細資訊，請參閱[註冊成員帳戶](delegated-admin-how-to-register.md)。

## 錯誤：找不到工作階段字符或工作階段字符無效
<a name="issue17"></a>

當 Web 瀏覽器 AWS 工具組或 等用戶端嘗試使用在伺服器端撤銷或失效的工作階段時 AWS CLI，可能會發生此錯誤。若要修正此問題，請返回用戶端應用程式或網站，然後再試一次，包括出現提示時再次登入。這有時可能會要求您取消待處理的請求，例如來自 IDE AWS 工具組 內 的待處理連線嘗試。

## 來自信任網域的群組成員不會同步到 IAM Identity Center
<a name="issue18"></a>

如果安全群組成功同步至 IAM Identity Center，但其來自受信任內部部署網域的成員未出現在 IAM Identity Center 中，這可能是由於群組位於 中 AWS Managed Microsoft AD ，並包含代表來自受信任網域使用者的外部安全委託人 (FSPs)。

請嘗試下列步驟以診斷故障：
+ 直接從信任的網域同步群組：與其從包含跨網域成員 AWS Managed Microsoft AD 的 同步群組，請直接從信任的內部部署網域建立和同步群組。這種方法有效，因為 IAM Identity Center 可以存取來源網域中的實際使用者物件。
+ 驗證服務帳戶許可：確保 IAM Identity Center 服務帳戶具有信任網域中使用者物件的必要許可：ReadProperties 和 ListContents 許可。