Résolution des problèmes liés à IAM Identity Center - AWS IAM Identity Center
Problèmes lors de la création d'une instance de compte d'IAM Identity CenterVous recevez un message d'erreur lorsque vous tentez d'afficher la liste des applications cloud préconfigurées pour fonctionner avec IAM Identity CenterProblèmes relatifs au contenu des assertions SAML créées par IAM Identity CenterDes utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externeLes utilisateurs ne peuvent pas se connecter lorsque leur nom d'utilisateur est au format UPNJe reçois le message d'erreur « Impossible d'effectuer l'opération sur le rôle protégé » lors de la modification d'un rôle IAMLes utilisateurs de l'annuaire ne peuvent pas réinitialiser leur mot de passeMon utilisateur est référencé dans un ensemble d'autorisations mais ne peut pas accéder aux comptes ou applications assignésJe n'arrive pas à configurer correctement mon application à partir du catalogue d'applicationsErreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externeErreur « Impossible d'activer les attributs du contrôle d'accès »Je reçois un message « Navigateur non pris en charge » lorsque je tente d'enregistrer un appareil pour le MFALe groupe « Utilisateurs du domaine » Active Directory ne se synchronise pas correctement avec IAM Identity CenterErreur d'identification MFA non valideJe reçois un message « Une erreur inattendue s'est produite » lorsque je tente de m'inscrire ou de me connecter à l'aide d'une application d'authentificationJe reçois un message d'erreur « Ce n'est pas toi, c'est nous » lorsque j'essaie de me connecter à IAM Identity CenterMes utilisateurs ne reçoivent pas d'e-mails d'IAM Identity CenterErreur : vous ne pouvez pas supprimer/modifier/supprimer/attribuer l'accès aux ensembles d'autorisations fournis dans le compte de gestionErreur : jeton de session introuvable ou non valide

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à IAM Identity Center

Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la configuration ou de l'utilisation de la console IAM Identity Center.

Problèmes lors de la création d'une instance de compte d'IAM Identity Center

Plusieurs restrictions peuvent s'appliquer lors de la création d'une instance de compte d'IAM Identity Center. Si vous ne parvenez pas à créer une instance de compte via la console IAM Identity Center ou via l'expérience de configuration d'une application AWS gérée prise en charge, vérifiez les cas d'utilisation suivants :

  • Régions AWS Cochez la case autre Compte AWS dans laquelle vous essayez de créer l'instance de compte. Vous êtes limité à une instance d'IAM Identity Center par. Compte AWS Pour activer l'application, passez à l'instance Région AWS avec IAM Identity Center ou passez à un compte sans instance d'IAM Identity Center.

  • Si votre organisation a activé IAM Identity Center avant le 14 septembre 2023, votre administrateur devra peut-être accepter la création d'une instance de compte. Collaborez avec votre administrateur pour activer la création d'instances de compte à partir de la console IAM Identity Center dans le compte de gestion.

  • Votre administrateur a peut-être créé une politique de contrôle des services pour limiter la création d'instances de compte d'IAM Identity Center. Travaillez avec votre administrateur pour ajouter votre compte à la liste des autorisations.

Vous recevez un message d'erreur lorsque vous tentez d'afficher la liste des applications cloud préconfigurées pour fonctionner avec IAM Identity Center

L'erreur suivante se produit lorsque vous avez une politique qui autorise les autres API IAM Identity Center, sso:ListApplications mais pas les autres. Mettez à jour votre politique pour corriger cette erreur.

L'ListApplicationsautorisation autorise plusieurs API :

  • L'ListApplicationsAPI.

  • API interne similaire à l'ListApplicationProvidersAPI utilisée dans la console IAM Identity Center.

Pour aider à résoudre le problème de duplication, l'API interne autorise désormais également l'utilisation de l'ListApplicationProvidersaction. Pour autoriser l'ListApplicationsAPI publique mais refuser l'API interne, votre politique doit inclure une déclaration refusant l'ListApplicationProvidersaction :


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

Pour autoriser l'API interne mais la refuserListApplications, la politique doit uniquement autoriserListApplicationProviders. L'ListApplicationsAPI est refusée si elle n'est pas explicitement autorisée.


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

Lorsque vos politiques sont mises à jour, contactez-nous AWS Support pour que cette mesure proactive soit supprimée.

Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center

IAM Identity Center fournit une expérience de débogage basée sur le Web pour les assertions SAML créées et envoyées par IAM Identity Center, y compris les attributs contenus dans ces assertions, lors de l'accès, Comptes AWS et pour les applications SAML depuis le portail d'accès. AWS Pour voir les détails d'une assertion SAML générée par IAM Identity Center, procédez comme suit.

  1. Connectez-vous au portail d' AWS accès.

  2. Lorsque vous êtes connecté au portail, maintenez la touche Shift enfoncée, choisissez la vignette de l'application, puis relâchez la touche Shift.

  3. Examinez les informations indiquées sur la page intitulée You are now in administrator mode (Vous êtes maintenant en mode administrateur). Pour conserver ces informations pour référence future, choisissez Copier le code XML et collez le contenu ailleurs.

  4. Choisissez Envoyer pour <application>continuer. Cette option envoie l'assertion au fournisseur de services.

Note

Certaines configurations de navigateur et certains systèmes d'exploitation peuvent ne pas prendre en charge cette procédure. Cette procédure a été testée sur Windows 10 à l'aide des navigateurs Firefox, Chrome et Edge.

Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe

Si la synchronisation SCIM réussit pour un sous-ensemble d'utilisateurs configuré dans votre IdP pour le provisionnement dans IAM Identity Center, mais échoue pour d'autres utilisateurs, il se peut qu'une erreur similaire à celle de votre fournisseur d'identité s'affiche. 'Request is unparsable, syntactically incorrect, or violates schema' Vous pouvez également voir des messages d'échec de provisionnement détaillés dans AWS CloudTrail.

Ce problème indique souvent que l'utilisateur de votre IdP est configuré d'une manière qui n'est pas prise en charge par IAM Identity Center. Tous les détails de la mise en œuvre du SCIM d'IAM Identity Center, y compris les spécifications des paramètres et opérations obligatoires, facultatifs et interdits pour les objets utilisateur, sont disponibles dans le guide du développeur de mise en œuvre d'IAM Identity Center SCIM. Le guide du développeur SCIM doit être considéré comme faisant autorité en ce qui concerne les informations relatives aux exigences du SCIM. Cependant, voici quelques raisons courantes à l'origine de cette erreur :

  1. L'objet utilisateur dans l'IdP n'a pas de prénom, de nom de famille et/ou de nom d'affichage.

    1. Solution : ajoutez un premier (donné), un dernier (famille) et un nom d'affichage pour l'objet utilisateur. En outre, assurez-vous que les mappages de provisionnement SCIM pour les objets utilisateur de votre IdP sont configurés pour envoyer des valeurs non vides pour tous ces attributs.

  2. Plusieurs valeurs pour un seul attribut sont envoyées à l'utilisateur (également appelées « attributs à valeurs multiples »). Par exemple, l'utilisateur peut avoir un numéro de téléphone professionnel et un numéro de téléphone personnel spécifiés dans l'IdP, ou plusieurs adresses électroniques ou physiques, et votre IdP est configuré pour essayer de synchroniser plusieurs ou toutes les valeurs pour cet attribut.

    1. Options de solution :

      1. Mettez à jour vos mappages de provisionnement SCIM pour les objets utilisateur de votre IdP afin de n'envoyer qu'une seule valeur pour un attribut donné. Par exemple, configurez un mappage qui envoie uniquement le numéro de téléphone professionnel de chaque utilisateur.

      2. Si les attributs supplémentaires peuvent être supprimés en toute sécurité de l'objet utilisateur au niveau de l'IdP, vous pouvez supprimer les valeurs supplémentaires, en laissant une ou zéro valeur définie pour cet attribut pour l'utilisateur.

      3. Si l'attribut n'est pas nécessaire pour effectuer des actions dans AWS, supprimez le mappage correspondant à cet attribut des mappages de provisionnement SCIM pour les objets utilisateur de votre IdP.

  3. Votre IdP essaie de faire correspondre les utilisateurs de la cible (IAM Identity Center, dans ce cas) en fonction de plusieurs attributs. Étant donné que l'unicité des noms d'utilisateur est garantie au sein d'une instance IAM Identity Center donnée, il vous suffit de spécifier username l'attribut utilisé pour la mise en correspondance.

    1. Solution : Assurez-vous que la configuration SCIM de votre IdP n'utilise qu'un seul attribut pour correspondre aux utilisateurs d'IAM Identity Center. Par exemple, le mappage username de l'IdP à l'userNameattribut dans SCIM pour le provisionnement vers IAM Identity Center sera correct et suffisant pour la plupart des implémentations. userPrincipalName

Les utilisateurs ne peuvent pas se connecter lorsque leur nom d'utilisateur est au format UPN

Les utilisateurs peuvent ne pas être en mesure de se connecter au portail AWS d'accès en fonction du format qu'ils utilisent pour saisir leur nom d'utilisateur sur la page de connexion. Dans la plupart des cas, les utilisateurs peuvent se connecter au portail utilisateur en utilisant leur nom d'utilisateur simple, leur nom de connexion de bas niveau (DOMAIN \UserName) ou leur nom de connexion UPN (). UserName@Corp.Example.com L'exception à cette règle est lorsque IAM Identity Center utilise un répertoire connecté qui a été activé avec la MFA et que le mode de vérification a été défini sur Context-aware ou Always-on. Dans ce scénario, les utilisateurs doivent se connecter avec leur nom de connexion de bas niveau (DOMAIN \). UserName Pour plus d’informations, consultez Authentification multifactorielle pour les utilisateurs d'Identity Center. Pour obtenir des informations générales sur les formats de nom d'utilisateur utilisés pour se connecter à Active Directory, consultez la section Formats de nom d'utilisateur sur le site Web de documentation Microsoft.

Je reçois le message d'erreur « Impossible d'effectuer l'opération sur le rôle protégé » lors de la modification d'un rôle IAM

Lorsque vous passez en revue les rôles IAM dans un compte, vous remarquerez peut-être que les noms de rôles commencent par « AWSReservedSSO _ ». Il s'agit des rôles que le service IAM Identity Center a créés dans le compte, et ils proviennent de l'attribution d'un ensemble d'autorisations au compte. Toute tentative de modification de ces rôles depuis la console IAM entraînera l'erreur suivante :

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

Ces rôles ne peuvent être modifiés qu'à partir de la console IAM Identity Center Administrator, qui se trouve dans le compte de gestion de AWS Organizations. Une fois les modifications apportées, vous pouvez les transférer aux AWS comptes auxquels elles sont attribuées.

Les utilisateurs de l'annuaire ne peuvent pas réinitialiser leur mot de passe

Lorsqu'un utilisateur de l'annuaire réinitialise son mot de passe à l'aide du champ Mot de passe oublié ? option lors de la connexion au portail d' AWS accès, leur nouveau mot de passe doit respecter la politique de mot de passe par défaut décrite dansExigences relatives aux mots de passe lors de la gestion des identités dans IAM Identity Center.

Si un utilisateur saisit un mot de passe conforme à la politique puis reçoit le message d'erreurWe couldn't update your password, vérifiez s'il AWS CloudTrail a enregistré l'échec. Cela peut être fait en effectuant une recherche dans la console de l'historique des événements CloudTrail ou en utilisant le filtre suivant :

"UpdatePassword"

Si le message indique ce qui suit, vous devrez peut-être contacter le support :

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

Une autre cause possible de ce problème réside dans la convention de dénomination qui a été appliquée à la valeur du nom d'utilisateur. Les conventions de dénomination doivent suivre des modèles spécifiques tels que « surname.givenname ». Cependant, certains noms d'utilisateur peuvent être assez longs ou contenir des caractères spéciaux, ce qui peut entraîner la suppression de caractères dans l'appel d'API, entraînant ainsi une erreur. Vous pouvez essayer de réinitialiser le mot de passe avec un utilisateur de test de la même manière pour vérifier si tel est le cas.

Si le problème persiste, contactez le AWS Support Center.

Mon utilisateur est référencé dans un ensemble d'autorisations mais ne peut pas accéder aux comptes ou applications assignés

Ce problème peut se produire si vous utilisez le système de gestion des identités interdomaines (SCIM) pour le provisionnement automatique avec un fournisseur d'identité externe. Plus précisément, lorsqu'un utilisateur, ou le groupe dont il était membre, est supprimé puis recréé en utilisant le même nom d'utilisateur (pour les utilisateurs) ou le même nom (pour les groupes) dans le fournisseur d'identité, un nouvel identifiant interne unique est créé pour le nouvel utilisateur ou le nouveau groupe dans IAM Identity Center. Cependant, IAM Identity Center possède toujours une référence à l'ancien identifiant dans sa base de données d'autorisations, de sorte que le nom de l'utilisateur ou du groupe apparaît toujours dans l'interface utilisateur, mais l'accès échoue. Cela est dû au fait que l'ID d'utilisateur ou de groupe sous-jacent auquel l'interface utilisateur fait référence n'existe plus.

Dans ce cas, pour rétablir l' Compte AWS accès, vous pouvez supprimer l'accès de l'ancien utilisateur ou du Compte AWS groupe auquel il a été attribué à l'origine, puis réattribuer l'accès à l'utilisateur ou au groupe. Cela met à jour l'ensemble d'autorisations avec l'identifiant correct pour le nouvel utilisateur ou le nouveau groupe. De même, pour rétablir l'accès à une application, vous pouvez supprimer l'accès de l'utilisateur ou du groupe de la liste des utilisateurs assignés à cette application, puis ajouter à nouveau l'utilisateur ou le groupe.

Vous pouvez également vérifier si l'échec AWS CloudTrail a été enregistré en recherchant dans vos CloudTrail journaux les événements de synchronisation SCIM faisant référence au nom de l'utilisateur ou du groupe en question.

Je n'arrive pas à configurer correctement mon application à partir du catalogue d'applications

Si vous avez ajouté une application depuis le catalogue d'applications d'IAM Identity Center, sachez que chaque fournisseur de services fournit sa propre documentation détaillée. Vous pouvez accéder à ces informations depuis l'onglet Configuration de l'application dans la console IAM Identity Center.

Si le problème est lié à la configuration de la confiance entre l'application du fournisseur de services et IAM Identity Center, assurez-vous de consulter le manuel d'instructions pour connaître les étapes de dépannage.

Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe

Cette erreur peut se produire pour plusieurs raisons, mais l'une des raisons les plus courantes est une incohérence entre les informations utilisateur contenues dans la demande SAML et les informations relatives à l'utilisateur dans IAM Identity Center.

Pour qu'un utilisateur d'IAM Identity Center puisse se connecter correctement lorsqu'il utilise un IdP externe comme source d'identité, les conditions suivantes doivent être remplies :

  • Le format SAML NameID (configuré chez votre fournisseur d'identité) doit être « e-mail »

  • La valeur NameID doit être une chaîne correctement formatée (RFC2822) (user@domain.com)

  • La valeur NameID doit correspondre exactement au nom d'utilisateur d'un utilisateur existant dans IAM Identity Center (peu importe que l'adresse e-mail dans IAM Identity Center corresponde ou non, la correspondance entrante est basée sur le nom d'utilisateur)

  • L'implémentation de la fédération SAML 2.0 par IAM Identity Center ne prend en charge qu'une seule assertion dans la réponse SAML entre le fournisseur d'identité et IAM Identity Center. Il ne prend pas en charge les assertions SAML chiffrées.

  • Les instructions suivantes s'appliquent si cette option Attributs pour le contrôle d’accès est activée dans votre compte IAM Identity Center :

    • Le nombre d'attributs mappés dans la demande SAML doit être inférieur ou égal à 50.

    • La demande SAML ne doit pas contenir d'attributs à valeurs multiples.

    • La demande SAML ne doit pas contenir plusieurs attributs portant le même nom.

    • L'attribut ne doit pas contenir de XML structuré comme valeur.

    • Le format du nom doit être un format spécifié par SAML et non un format générique.

Note

IAM Identity Center n'effectue pas de création « juste à temps » d'utilisateurs ou de groupes pour les nouveaux utilisateurs ou groupes via la fédération SAML. Cela signifie que l'utilisateur doit être précréé dans IAM Identity Center, soit manuellement, soit via un provisionnement automatique, afin de se connecter à IAM Identity Center.

Cette erreur peut également se produire lorsque le point de terminaison Assertion Consumer Service (ACS) configuré dans votre fournisseur d'identité ne correspond pas à l'URL ACS fournie par votre instance IAM Identity Center. Assurez-vous que ces deux valeurs correspondent exactement.

En outre, vous pouvez résoudre les problèmes de connexion à un fournisseur d'identité externe en accédant au nom ExternalId de l'événement AWS CloudTrail P et en filtrant sur celui-ci. DirectoryLogin

Erreur « Impossible d'activer les attributs du contrôle d'accès »

Cette erreur peut se produire si l'utilisateur qui active ABAC ne dispose pas des iam:UpdateAssumeRolePolicy autorisations requises pour l'activerAttributs pour le contrôle d’accès.

Je reçois un message « Navigateur non pris en charge » lorsque je tente d'enregistrer un appareil pour le MFA

WebAuthn est actuellement compatible avec les navigateurs Web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari, ainsi que sur les plateformes Windows 10 et Android. Certains éléments de WebAuthn prise en charge peuvent varier, tels que la prise en charge de l'authentificateur de plateforme sur les navigateurs macOS et iOS. Si les utilisateurs tentent d'enregistrer des WebAuthn appareils sur un navigateur ou une plateforme non pris en charge, certaines options non prises en charge seront grisées, ou ils recevront un message d'erreur indiquant que toutes les méthodes prises en charge ne sont pas prises en charge. Dans ces cas, reportez-vous à FIDO2 : Web Authentication (WebAuthn) pour plus d'informations sur la prise en charge du navigateur/de la plateforme. Pour plus d'informations sur WebAuthn IAM Identity Center, consultezAuthentificateurs FIDO2.

Le groupe « Utilisateurs du domaine » Active Directory ne se synchronise pas correctement avec IAM Identity Center

Le groupe d'utilisateurs du domaine Active Directory est le « groupe principal » par défaut pour les objets utilisateur AD. Les groupes principaux Active Directory et leurs adhésions ne peuvent pas être lus par IAM Identity Center. Lorsque vous attribuez l'accès aux ressources ou aux applications IAM Identity Center, utilisez des groupes autres que le groupe des utilisateurs du domaine (ou d'autres groupes assignés en tant que groupes principaux) pour que l'appartenance au groupe soit correctement reflétée dans la banque d'identités IAM Identity Center.

Erreur d'identification MFA non valide

Cette erreur peut se produire lorsqu'un utilisateur tente de se connecter à IAM Identity Center à l'aide d'un compte fourni par un fournisseur d'identité externe (par exemple, Okta ouMicrosoft Entra ID) avant que son compte ne soit entièrement provisionné auprès d'IAM Identity Center à l'aide du protocole SCIM. Une fois le compte utilisateur configuré auprès d'IAM Identity Center, ce problème doit être résolu. Vérifiez que le compte a été fourni à IAM Identity Center. Dans le cas contraire, consultez les journaux de provisionnement dans le fournisseur d'identité externe.

Je reçois un message « Une erreur inattendue s'est produite » lorsque je tente de m'inscrire ou de me connecter à l'aide d'une application d'authentification

Les systèmes de mot de passe à usage unique basé sur le temps (TOTP), tels que ceux utilisés par IAM Identity Center en combinaison avec des applications d'authentification basées sur du code, reposent sur la synchronisation de l'heure entre le client et le serveur. Assurez-vous que l'appareil sur lequel votre application d'authentification est installée est correctement synchronisé avec une source horaire fiable, ou réglez manuellement l'heure sur votre appareil pour qu'elle corresponde à une source fiable, telle que le NIST (https://www.time.gov/) ou d'autres équivalents locaux/régionaux.

Je reçois un message d'erreur « Ce n'est pas toi, c'est nous » lorsque j'essaie de me connecter à IAM Identity Center

Cette erreur indique qu'il existe un problème de configuration avec votre instance d'IAM Identity Center ou avec le fournisseur d'identité externe (IdP) qu'IAM Identity Center utilise comme source d'identité. Nous vous recommandons de vérifier les points suivants :

  • Vérifiez les paramètres de date et d'heure sur l'appareil que vous utilisez pour vous connecter. Nous vous recommandons de définir la date et l'heure à régler automatiquement. Si ce n'est pas le cas, nous vous recommandons de synchroniser la date et l'heure avec un serveur NTP (Network Time Protocol) connu.

  • Vérifiez que le certificat IdP téléchargé vers IAM Identity Center est le même que celui fourni par votre IdP. Vous pouvez vérifier le certificat depuis la console IAM Identity Center en accédant aux paramètres. Dans l'onglet Source d'identité, sélectionnez Action, puis sélectionnez Gérer l'authentification. Si les certificats IdP et IAM Identity Center ne correspondent pas, importez un nouveau certificat dans IAM Identity Center.

  • Assurez-vous que le format NameID du fichier de métadonnées de votre fournisseur d'identité est le suivant :

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • Si vous utilisez AD Connector from AWS Directory Service comme fournisseur d'identité, vérifiez que les informations d'identification du compte de service sont correctes et n'ont pas expiré. Consultez Mettre à jour les informations d'identification de votre compte de service AD Connector AWS Directory Service pour plus d'informations.

Mes utilisateurs ne reçoivent pas d'e-mails d'IAM Identity Center

Tous les e-mails envoyés par le service IAM Identity Center proviendront soit de l'adresseno-reply@signin.aws, soit de. no-reply@login.awsapps.com Votre système de messagerie doit être configuré de manière à accepter les e-mails provenant de ces adresses électroniques d'expéditeurs et à ne pas les traiter comme du courrier indésirable ou du spam.

Erreur : vous ne pouvez pas supprimer/modifier/supprimer/attribuer l'accès aux ensembles d'autorisations fournis dans le compte de gestion

Ce message indique que la Administration déléguée fonctionnalité a été activée et que l'opération que vous avez tentée précédemment ne peut être exécutée avec succès que par une personne disposant d'autorisations de compte de gestion AWS Organizations. Pour résoudre ce problème, connectez-vous en tant qu'utilisateur disposant de ces autorisations et réessayez d'exécuter la tâche ou attribuez cette tâche à une personne disposant des autorisations appropriées. Pour plus d’informations, consultez Enregistrez un compte membre.

Erreur : jeton de session introuvable ou non valide

Cette erreur peut se produire lorsqu'un client, tel qu'un navigateur Web AWS CLI, essaie d'utiliser une session révoquée ou invalidée côté serveur. AWS Toolkit Pour résoudre ce problème, retournez sur l'application client ou sur le site Web et réessayez, y compris en vous reconnectant si vous y êtes invité. Cela peut parfois vous obliger à annuler également les demandes en attente, telles qu'une tentative de connexion en attente AWS Toolkit depuis votre IDE.