Registro de llamadas a la API del IAM Identity Center SCIM con AWS CloudTrail

IAM Identity Center SCIM está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, rol o un. Servicio de AWS CloudTrail captura las llamadas a la API del SCIM como eventos. Con la información recopilada por CloudTrail, puede determinar la información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Para obtener más información CloudTrail, consulte la Guía AWS CloudTrail del usuario.

nota

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. Sin embargo, es posible que tengas que rotar tu token de acceso para ver los eventos de SCIM, si tu token se creó antes de septiembre de 2024.

Para obtener más información, consulte Rotar un token de acceso.

SCIM admite el registro de las siguientes operaciones como eventos en: CloudTrail

• CreateGroup

• CreateUser

• DeleteGroup

• DeleteUser

• GetGroup

• GetSchema

• GetUser

• ListGroups

• ListResourceTypes

• ListSchemas

• ListUsers

• PatchGroup

• PatchUser

• PutUser

• ServiceProviderConfig

Ejemplos CloudTrail de eventos

Los siguientes ejemplos muestran los registros de CloudTrail eventos típicos generados durante las operaciones de SCIM con el IAM Identity Center. Estos ejemplos muestran la estructura y el contenido de los eventos para que las operaciones se realicen correctamente y los escenarios de error más comunes, lo que le ayuda a entender cómo interpretar los CloudTrail registros a la hora de solucionar problemas de aprovisionamiento del SCIM.

Funcionamiento exitoso CreateUser

Este CloudTrail evento muestra una CreateUser operación realizada correctamente a través de la API SCIM. El evento captura tanto los parámetros de la solicitud (ocultando la información confidencial) como los elementos de respuesta, incluido el ID del usuario recién creado. Este tipo de evento se genera cuando un proveedor de identidad aprovisiona correctamente un nuevo usuario al Centro de Identidad de IAM mediante el protocolo SCIM.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

PatchGroupOperación fallida: falta el atributo de ruta obligatorio

Este CloudTrail evento muestra una PatchGroup operación fallida que dio lugar ValidationException a un mensaje de error"Missing path in PATCH request". El error se produjo porque la PATCH operación requiere un atributo de ruta para especificar qué atributo de grupo se va a modificar, pero este atributo no aparecía en la solicitud.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

CreateGroupOperación fallida: el nombre del grupo ya existe

Este CloudTrail evento muestra una CreateGroup operación fallida que dio lugar ConflictException a un mensaje de error"Duplicate GroupDisplayName". Este error se produce al intentar crear un grupo con un nombre para mostrar que ya existe en el Centro de identidades de IAM. El proveedor de identidad debe usar un nombre de grupo único o actualizar el grupo existente en lugar de crear uno nuevo.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

PatchUserOperación fallida: no se admiten varias direcciones de correo electrónico

Este CloudTrail evento muestra una PatchUser operación fallida que dio lugar ValidationException a un mensaje de error"List attribute emails exceeds allowed limit of 1". Este error se produce al intentar asignar varias direcciones de correo electrónico a un usuario, ya que el Centro de Identidad de IAM solo admite una dirección de correo electrónico por usuario. El proveedor de identidad debe configurar el mapeo SCIM para enviar solo una dirección de correo electrónico para cada usuario.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Errores comunes de validación de la API SCIM en el Centro de Identidad de IAM

Los siguientes mensajes de error de validación suelen aparecer en los CloudTrail eventos cuando se utiliza la API SCIM con el IAM Identity Center. Estos errores de validación suelen producirse durante las operaciones de aprovisionamiento de usuarios y grupos.

Para obtener una guía detallada sobre cómo resolver estos errores y configurar correctamente el aprovisionamiento de SCIM, consulte este artículo.AWS re:Post

• El correo electrónico con el atributo de la lista supera el límite permitido de 1

• El límite permitido de direcciones de atributos de lista es de 1

• Se detectó un error de validación: el valor de '*name.familyName*' no cumplía la restricción: el miembro debe cumplir el patrón de expresión regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

• Se detectaron dos errores de validación: el valor de 'name.familyName' no pudo cumplir la restricción: el miembro debe tener una longitud mayor o igual a 1; el valor de 'name.familyName' no pudo cumplir la restricción: el miembro debe cumplir el patrón de expresión regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

• Se detectaron dos errores de validación: el valor de 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' no cumplía la restricción: el miembro debe tener una longitud mayor o igual a 1; el valor en 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' no pudo cumplir la restricción: el miembro debe cumplir con la expresión regular patrón: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+",

• JSON no válido de RequestBody

• Formato de filtro no válido