翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrailを使用した IAM アイデンティティセンター SCIM API コールのログ記録
IAM Identity Center SCIM は、ユーザー AWS CloudTrail、ロール、または によって実行されたアクションを記録するサービスである と統合されています AWS のサービス。CloudTrail は、SCIM の API コールをイベントとしてキャプチャします。CloudTrail によって収集される情報を使用することで、リクエストされたアクション、アクションの日付と時刻、リクエストパラメータなどに関する情報を確認できます。CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。
注記
CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。ただし、トークンが 2024 年 9 月より前に作成された場合は、SCIM からのイベントを確認するためにアクセストークンをローテーションする必要がある場合があります。
詳細については、「アクセストークンをローテーションする」を参照してください。
SCIM は、以下のオペレーションを CloudTrail のイベントとして記録するログをサポートしています。
の CloudTrail イベントの例
次の例は、IAM Identity Center を使用した SCIM オペレーション中に生成される一般的な CloudTrail イベントログを示しています。これらの例は、成功したオペレーションと一般的なエラーシナリオのイベントの構造と内容を示し、SCIM プロビジョニングの問題をトラブルシューティングするときに CloudTrail ログを解釈する方法を理解するのに役立ちます。
正常なCreateUserオペレーション
この CloudTrail イベントは、SCIM API を通じて正常に実行されたCreateUserオペレーションを示します。イベントは、リクエストパラメータ (機密情報がマスクされている) と、新しく作成されたユーザーの ID を含むレスポンス要素の両方をキャプチャします。このタイプのイベントは、ID プロバイダーが SCIM プロトコルを使用して IAM アイデンティティセンターに新しいユーザーを正常にプロビジョニングしたときに生成されます。
{
"eventVersion": "1.10",
"userIdentity": {
"type": "WebIdentityUser",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": {
"meta" : {
"created" : "Oct 10, 2024, 1:23:45 PM",
"lastModified" : "Oct 10, 2024, 1:23:45 PM",
"resourceType" : "User"
},
"displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
"schemas" : [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"name": {
"familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"active": true,
"id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
"userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}PatchGroup 失敗したオペレーション: 必須パス属性がありません
この CloudTrail イベントは、失敗したPatchGroupオペレーションを示し、エラーメッセージ ValidationExceptionで が発生します"Missing path in PATCH request"。PATCH オペレーションで、変更するグループ属性を指定するパス属性が必要なため、エラーが発生しましたが、この属性がリクエストにありませんでした。
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "Missing path in PATCH request",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REMOVE",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
CreateGroup 失敗したオペレーション: グループ名が既に存在します
この CloudTrail イベントは、失敗したCreateGroupオペレーションを示し、エラーメッセージ ConflictExceptionで が発生します"Duplicate GroupDisplayName"。このエラーは、IAM Identity Center に既に存在する表示名を持つグループを作成しようとすると発生します。ID プロバイダーは、新しいグループを作成する代わりに、一意のグループ名を使用するか、既存のグループを更新する必要があります。
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "CreateGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ConflictException",
"errorMessage": "Duplicate GroupDisplayName",
"requestParameters": {
"httpBody": {
"displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"tenantId": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}
PatchUser 失敗したオペレーション: 複数の E メールアドレスはサポートされていません
この CloudTrail イベントは、ValidationException失敗したPatchUserオペレーションを示し、エラーメッセージが表示されます"List attribute emails exceeds allowed limit of 1"。このエラーは、IAM Identity Center がユーザーごとに 1 つの E メールアドレスのみをサポートしているため、ユーザーに複数の E メールアドレスを割り当てるときに発生します。ID プロバイダーは、ユーザーごとに 1 つの E メールアドレスのみを送信するように SCIM マッピングを設定する必要があります。
{
"eventVersion": "1.10",
"userIdentity": {
"type": "Unknown",
"accountId": "123456789012",
"accessKeyId": "xxxx"
},
"eventTime": "xxxx",
"eventSource": "identitystore-scim.amazonaws.com",
"eventName": "PatchUser",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx.xxx.xxx.xxx",
"userAgent": "Go-http-client/2.0",
"errorCode": "ValidationException",
"errorMessage": "List attribute emails exceeds allowed limit of 1",
"requestParameters": {
"httpBody": {
"operations": [
{
"op": "REPLACE",
"path": "emails",
"value": "HIDDEN_DUE_TO_SECURITY_REASONS"
}
],
"schemas": [
"HIDDEN_DUE_TO_SECURITY_REASONS"
]
},
"tenantId": "xxxx",
"id": "xxxx"
},
"responseElements": null,
"requestID": "xxxx",
"eventID": "xxxx",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
}
}IAM Identity Center での一般的な SCIM API 検証エラー
IAM アイデンティティセンターで SCIM API を使用する場合、CloudTrail イベントには一般的に次の検証エラーメッセージが表示されます。これらの検証エラーは通常、ユーザーおよびグループのプロビジョニングオペレーション中に発生します。
これらのエラーを解決し、SCIM プロビジョニングを適切に設定するための詳細なガイダンスについては、このAWS re:Post 記事
-
「
リスト属性の E メールが 1 件の上限を超えています」 -
「
リスト属性のアドレスは、1 つまでに制限されています」 -
「
1 つの検証エラーが検出されました: '*name.familyName*' の値が制約を満たしませんでした: メンバー名は次の正規表現パターンを満たす必要があります: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+」 -
「
2 つの検証エラーが検出されました: 'name.familyName' の値が制約を満たしませんでした: メンバー名の長さは 1 以上である必要があります。 'name.familyName' の値が制約を満たしませんでした: メンバー名は次の正規表現パターンを満たす必要があります: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+」 -
「
2 つの検証エラーが検出されました: 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' の値が制約を満たしませんでした: メンバー名の長さは 1 以上である必要があります。 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' の値が制約を満たしませんでした: メンバー名は次の正規表現パターンを満たす必要があります: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+"、」 -
「
RequestBody からの無効な JSON」 -
「
無効なフィルター形式」
