IAM Identity Center の問題のトラブルシューティング - AWS IAM Identity Center
IAM アイデンティティセンターのアカウントインスタンスの作成に関する問題IAM アイデンティティセンターと連携するように事前設定されているクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。IAM Identity Center によって作成された SAML アサーションの内容に関する問題特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できませんユーザー名が UPN 形式の場合、ユーザーはサインインできませんIAM ロールを変更すると、「Cannot perform the operation on the protected role」(保護されたロールでオペレーションを実行できません) というエラーが発生するディレクトリユーザーが、パスワードをリセットできませんユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできませんアプリケーションカタログからアプリケーションを正しく設定できないユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生しますエラー「アクセスコントロールのための属性の有効化に失敗しました」MFA にデバイスを登録しようとすると、「Browser not supported」(サポートされていないブラウザ) というメッセージが表示されます。アクティブディレクトリの「ドメインユーザー」グループが IAM Identity Center に正しく同期しない無効な MFA 認証情報エラー認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されますIAM Identity Center にサインインしようとすると、「ユーザーではありません。エラーです」と表示されます。ユーザーが IAM Identity Center からのメールを受信できませんエラー: 管理アカウントにプロビジョニングされたアクセス権限セットを削除/変更/削除/割り当てることはできませんエラー: セッショントークンが見つからないか無効です

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の問題のトラブルシューティング

以下は、IAM Identity Center コンソールを設定または使用するときに発生する可能性のある問題のトラブルシューティングに役立ちます。

IAM アイデンティティセンターのアカウントインスタンスの作成に関する問題

IAM アイデンティティセンターのアカウントインスタンスを作成する場合、いくつかの制限が適用される場合があります。IAM Identity Center コンソールからアカウントインスタンスを作成できない場合、またはサポートされている AWS マネージドアプリケーションのセットアップエクスペリエンスで、次のユースケースを確認します。

  • アカウントインスタンスを作成しようとしている AWS リージョン AWS アカウント の他の を確認します。IAM アイデンティティセンターのインスタンスは AWS アカウントにつき 1 つに制限されています。アプリケーションを有効にするには、IAM Identity Center のインスタンス AWS リージョン を使用して に切り替えるか、IAM Identity Center のインスタンスなしで アカウントに切り替えます。

  • 組織が 2023 年 9 月 14 日より前に IAM Identity Center を有効にしている場合、管理者はアカウントインスタンスの作成をオプトインする必要がある場合があります。管理者と協力して、管理アカウントの IAM アイデンティティセンターコンソールからアカウントインスタンスを作成できるようにします。

  • 管理者が IAM アイデンティティセンターのアカウントインスタンスの作成を制限するサービスコントロールポリシーを作成した可能性があります。管理者と協力してアカウントを許可リストに追加します。

IAM アイデンティティセンターと連携するように事前設定されているクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。

以下のエラーは、sso:ListApplications は許可するが、他の IAM アイデンティティセンター API は許可しないポリシーがある場合に発生します。ポリシーを更新してこのエラーを解決します。

ListApplications アクセス許可は複数の API を承認します。

  • ListApplications API。

  • IAM アイデンティティセンターコンソールで使用される ListApplicationProviders API に似た内部 API。

重複を解決するために、内部 API も ListApplicationProviders アクションの使用を許可するようになりました。パブリック ListApplications API を許可し、内部 API を拒否するには、ポリシーに ListApplicationProviders アクションを拒否するステートメントを含める必要があります。


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

内部 API を許可して ListApplications を拒否するには、ポリシーで ListApplicationProviders のみ許可する必要があります。ListApplications API は明示的に許可されない場合は拒否されます。


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

ポリシーが更新されたら、 AWS Support に連絡して、このプロアクティブメジャーを削除してもらいます。

IAM Identity Center によって作成された SAML アサーションの内容に関する問題

IAM Identity Center は、 AWS アクセスポータルから AWS アカウント および SAML アプリケーションにアクセスするときに、IAM Identity Center によって作成および送信される SAML アサーションのウェブベースのデバッグエクスペリエンスを提供します。これには、これらのアサーション内の属性が含まれます。IAM Identity Center が生成する SAML アサーションの詳細を確認するには、以下の手順を行います。

  1. AWS アクセスポータルにサインインします。

  2. ポータルにサインインしている状態で、Shift キーを押しながらアプリケーションタイルを選択し、Shift キーを離します。

  3. [You are now in administrator mode] (現在、管理者モードです) ページの情報を調べます。この情報を保存しておきたい場合は、[Copy XML] をクリックして、その内容を別の場所に貼り付けます。

  4. [Send to <application>] (<アプリケーション>に送信する) をクリックして続けます。このオプションは、アサーションをサービスプロバイダに送信します。

注記

ブラウザの設定やオペレーティングシステムによっては、この手順をサポートしていない場合があります。この手順は、Firefox、Chrome、Edge ブラウザを使用して Windows 10 で評価されています。

特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません

IAM Identity Center へのプロビジョニングのために IdP で構成されたユーザーのサブセットに対して SCIM 同期が成功し、他のユーザーに対して失敗する場合、ID プロバイダーから 'Request is unparsable, syntactically incorrect, or violates schema' と同じようなエラーが表示されることがあります。また、 に詳細なプロビジョニング失敗メッセージが表示される場合があります AWS CloudTrail。

この問題は、IAM Identity Center がサポートしていない方法で IdP のユーザーが設定されているためです。IAM Identity Center SCIM 実装の詳細 (ユーザーオブジェクトに必要なパラメータ、オプションのパラメータ、禁止されたパラメータ、操作の仕様など) は、「IAM Identity Center SCIM 実装デベロッパーガイド」に記載されています。「SCIM デベロッパーガイド」の SCIM 要件に関する情報は信頼できると考えなければなりません。しかし、このエラーが発生する一般的な理由は以下の通りです。

  1. IdP のユーザーオブジェクトには、名 (given)、姓 (family)、表示名がありません。

    1. 解決策: ユーザーオブジェクのための、名 (given)、姓 (family)、表示名を追加します。さらに、IdP のユーザーオブジェクトに対する SCIM プロビジョニングマッピングが、これらの属性すべてに対して空ではない値を送信するように構成されていることを確認してください。

  2. 1 つの属性に対して複数の値がユーザーに送信されています (「マルチバリュー属性」とも知られれています)。例えば、ユーザーが IdP で職場と自宅の両方の電話番号を指定していたり、複数の E メールや実際の住所を指定していたりする場合、IdP はその属性の複数またはすべての値を同期するように設定されています。

    1. ソリューションオプション:

      1. IdP のユーザーオブジェクトに対する SCIM プロビジョニングマッピングを更新して、特定の属性に対して単一の値のみを送信するようにします。例えば、各ユーザーの職場の電話番号のみを送信するマッピングを設定します。

      2. IdP でユーザーオブジェクトから追加属性を安全に削除できる場合は、追加値を削除して、ユーザーのその属性に設定された値を 1 つまたは完全に無くすことができます。

      3. 属性が のアクションに必要ない場合は AWS、IdP のユーザーオブジェクトの SCIM プロビジョニングマッピングからその属性のマッピングを削除します。

  3. お客様の IdP は、複数の属性に基づいてターゲット (ここでは IAM Identity Center) のユーザーをマッチさせようとします。ユーザー名は、特定の IAM Identity Center インスタンス内で一意であることが保証されているため、マッチングに使用する属性として username 指定するだけです。

    1. 解決策: IdP の SCIM 構成が、IAM Identity Center でのユーザーとのマッチングに単一の属性のみを使用していることを確認します。例えば、IAM Identity Center へのプロビジョニングのために、IdP の username または userPrincipalName を SCIM の userName 属性にマッピングすることは、ほとんどの実装で十分に要件を満たします。

ユーザー名が UPN 形式の場合、ユーザーはサインインできません

ユーザーは、サインインページでユーザー名を入力するために使用する形式に基づいて、 AWS アクセスポータルにサインインできない場合があります。ほとんどの場合、ユーザーはプレーンユーザー名、ダウンレベルログオン名 (DOMAIN\UserName)、または UPN ログオン名 () を使用してユーザーポータルにサインインできますUserName@Corp.Example.com。ただし、IAM Identity Center が MFA を有効にした接続ディレクトリを使用しており、検証モードが Context-aware または Always-on のいずれかに設定されている場合は例外です。このシナリオでは、ユーザーはダウンレベルログオン名 (DOMAIN\) でサインインする必要がありますUserName。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。アクティブディレクトリへのサインインに使用されるユーザー名の形式についての一般的な情報は、Microsoft のドキュメントサイトの「User Name Formats」(ユーザー名形式) を参照してください。

IAM ロールを変更すると、「Cannot perform the operation on the protected role」(保護されたロールでオペレーションを実行できません) というエラーが発生する

アカウントの IAM ロールを確認すると、ロール名がAWSReservedSSO「_」で始まることがあります。これらは、IAM Identity Center サービスがアカウントに作成したロールであり、アカウントにアクセス権限セットを割り当てたものです。IAM コンソール内からこれらのロールを変更しようとすると、次のエラーが発生します。

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

これらのロールは、 の管理アカウントにある IAM Identity Center 管理者コンソールからのみ変更できます AWS Organizations。変更後は、割り当てられている AWS アカウントに変更を反映させることができます。

ディレクトリユーザーが、パスワードをリセットできません

ディレクトリユーザーが AWS アクセスポータルのサインイン中にパスワードを忘れた場合? オプションを使用してパスワードをリセットする場合、新しいパスワードは で説明されているデフォルトのパスワードポリシーに従う必要がありますIAM Identity Center で ID を管理する際のパスワード要件

ユーザーがポリシーに準拠するパスワードを入力し、エラー を受け取った場合はWe couldn't update your password、失敗 AWS CloudTrail が記録されているかどうかを確認します。これは、次のフィルター CloudTrail を使用して のイベント履歴コンソールで検索することで実行できます。

"UpdatePassword"

メッセージに次のように記載されている場合は、サポートに連絡する必要があります。

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

この問題の別の原因として、ユーザー名の値が命名規則に反していることが考えられます。命名規則は、「surname.givenName」などの特定のパターンに従う必要があります。しかし、ユーザー名の中には非常に長いものや特殊な文字を含むものがあり、API コールの中で文字が抜けてしまい、エラーになってしまうことがあります。同じ方法でテストユーザーとパスワードのリセットを試みて、これが当てはまるかどうかを確認することもできます。

問題が解決しない場合は、AWS サポートセンターまでお問い合わせください。

ユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできません

この問題は、クロスドメイン ID 管理 (SCIM) システムを外部の ID プロバイダーで使用している場合に発生します。具体的には、ユーザーまたはユーザーが所属していたグループが削除された後、ID プロバイダーで同じユーザー名 (ユーザーの場合) または名前 (グループの場合) を使用して再作成された場合、IAM Identity Center では新しいユーザーまたはグループに新しい一意の内部識別子が作成されます。しかし、IAM Identity Center は権限データベースに古い識別子への参照を保持しているため、ユーザーやグループの名前は UI に表示されますが、アクセスは失敗します。これは、UI が参照するときのベースとなるユーザーまたはグループ ID がもはや存在しないためです。

この場合の AWS アカウント アクセスを復元するには、最初に割り当てられた AWS アカウント(s) から古いユーザーまたはグループのアクセスを削除し、そのユーザーまたはグループにアクセスを再割り当てします。これにより、新しいユーザーまたはグループの正しい識別子でアクセス権限セットが更新されます。同様に、アプリケーションのアクセス権を回復するには、そのアプリケーションの割り当てユーザーリストからそのユーザーまたはグループのアクセス権を削除し、その後、そのユーザーまたはグループを再び追加します。

また、問題のユーザーまたはグループの名前を参照する SCIM 同期イベントを CloudTrail ログで検索して、障害が AWS CloudTrail 記録されたかどうかを確認することもできます。

アプリケーションカタログからアプリケーションを正しく設定できない

IAM アイデンティティセンターのアプリケーションカタログからアプリケーションを追加した場合は、各サービスプロバイダーが独自の詳細なドキュメントを提供していることに注意してください。この情報は、IAM アイデンティティセンターコンソール上でアプリケーションの [設定] タブから確認できます。

問題が、サービスプロバイダーのアプリケーションと IAM Identity Center の間の信頼関係の設定に関係している場合は、必ず手順書でトラブルシューティングのステップを確認してください。

ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します

このエラーは複数の理由で発生する可能性がありますが、よくあるのは、SAML リクエストで送信したユーザー情報と IAM Identity Center でのユーザー情報との間にミスマッチがあることが挙げられます。

IAM Identity Center のユーザーが、外部の IdP を ID ソースとして使用しているときに正常にサインインするためには、以下の条件を満たす必要があります。

  • SAML nameID 形式 (アイデンティティプロバイダーで設定) は「E メール」でなければなりません。

  • nameID の値は、適切に (RFC2822) でフォーマットされた文字列である必要があります (user@domain.com)

  • nameID の値は、IAM Identity Center の既存ユーザーのユーザー名と完全に一致する必要があります (IAM Identity Center のメールアドレスが一致するかどうかは問題ではありません - インバウンドマッチはユーザー名に基づいて行われます)。

  • SAML 2.0 フェデレーションの IAM Identity Center 実装では、ID プロバイダーと IAM Identity Center 間の SAML レスポンスで 1 つのアサーションのみがサポートされます。暗号化された SAML アサーションはサポートされていません。

  • 以下の記述は、IAM Identity Center アカウントで アクセスコントロールの属性 が有効になっている場合に適用されます。

    • SAML リクエストでマッピングされる属性の数は、50 以下でなければなりません。

    • SAML リクエストに複数の値を持つ属性を含めることはできません。

    • SAML リクエストには、同じ名前の複数の属性を含めることはできません。

    • 属性の値として、構造化された XML を含んではいけません。

    • Name の形式は、汎用的な形式ではなく、SAML で指定された形式でなければなりません。

注記

IAM Identity Center は、SAML フェデレーションを介した新しいユーザーやグループの「ジャストインタイム」での作成はできません。つまり、IAM Identity Center にサインインするためには、手動または自動プロビジョニングによって、ユーザーが IAM Identity Center であらかじめ作成されている必要があります。

このエラーは、ID プロバイダーで構成されたアサーションコンシューマサービス (ACS) のエンドポイントが、IAM Identity Center インスタンスで提供された ACS の URL と一致しない場合にも発生します。この 2 つの値が正確に一致するようにしてください。

さらに、 に移動してイベント名 ExternalIdPDirectoryLogin でフィルタリングすることで AWS CloudTrail 、外部 ID プロバイダーのサインイン失敗をさらにトラブルシューティングできます。

エラー「アクセスコントロールのための属性の有効化に失敗しました」

このエラーは、ABAC を有効にしているユーザーが、アクセスコントロールの属性 を有効にするために必要な iam:UpdateAssumeRolePolicy 権限を持っていない場合に発生することがあります。

MFA にデバイスを登録しようとすると、「Browser not supported」(サポートされていないブラウザ) というメッセージが表示されます。

WebAuthn は現在、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari ウェブブラウザ、および Windows 10 および Android プラットフォームでサポートされています。macOS および iOS ブラウザでのプラットフォーム認証サポートなど、サポートの一部のコンポーネント WebAuthn はさまざまです。ユーザーがサポートされていないブラウザまたはプラットフォームに WebAuthn デバイスを登録しようとすると、サポートされていない特定のオプションがグレー表示されます。または、サポートされているすべてのメソッドがサポートされていないというエラーが表示されます。このような場合、ブラウザ/プラットフォームのサポートの詳細については、FIDO2: Web Authentication (WebAuthn) を参照してください。IAM Identity Center WebAuthn の の詳細については、「」を参照してくださいFIDO2 認証

アクティブディレクトリの「ドメインユーザー」グループが IAM Identity Center に正しく同期しない

アクティブディレクトリのドメインユーザーグループは、AD ユーザーオブジェクトのデフォルトの「プライマリグループ」です。アクティブディレクトリのプライマリグループとそのメンバシップは、IAM Identity Center では読み取れません。IAM Identity Center リソースまたはアプリケーションへのアクセスを割り当てる際には、グループメンバーシップが IAM Identity Center ID ストアに適切に反映されるように、ドメインユーザーグループ (またはプライマリグループとして割り当てられた他のグループ) 以外のグループを使用してください。

無効な MFA 認証情報エラー

このエラーは、SCIM プロトコルを使用してアカウントが IAM Identity Center に完全にプロビジョニングされる前に、ユーザーが外部 ID プロバイダー (Okta または Microsoft Entra ID など) のアカウントを使用して IAM Identity Center にサインインしようとすると発生する可能性があります。ユーザーアカウントが IAM Identity Center にプロビジョニングされると、この問題は解決します。アカウントが IAM Identity Center にプロビジョニングされていることを確認します。されていない場合は、外部 ID プロバイダーのプロビジョニングログを確認します。

認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されます

コードベースの認証アプリケーションと組み合わせて IAM Identity Center で使用されるような、タイムベースドワンタイムパスワード (TOTP) システムは、クライアントとサーバー間の時間の同期に依存しています。認証システムのアプリケーションをインストールしているデバイスが信頼できるタイムソースに正しく同期されていることを確認するか、またはデバイスの時間を、NIST (https://www.time.gov/) やその他のローカル/地域など、信頼できるソースと一致するように手動で設定してください。

IAM Identity Center にサインインしようとすると、「ユーザーではありません。エラーです」と表示されます。

このエラーは、IAM Identity Center のインスタンス、または IAM Identity Center が ID ソースとして使用している外部 ID プロバイダー (IdP) にセットアップの問題があることを示します。以下を確認することをお勧めします。

  • サインインに使用しているデバイスの日付と時刻の設定を確認します。日付と時刻を自動的に設定することをお勧めします。これが利用できない場合は、日付と時刻を既知の Network Time Protocol (NTP) サーバーに同期することをお勧めします。

  • IAM Identity Center にアップロードされた IdP 証明書が、IdP によって提供された証明書と同じであることを確認します。IAM Identity Center コンソールから証明書を確認するには、設定 に移動します。ID ソースタブでアクション を選択し、認証の管理 を選択します。IdP 証明書と IAM Identity Center 証明書が一致しない場合は、新しい証明書を IAM Identity Center にインポートします。

  • ID プロバイダーのメタデータファイル内の NameID 形式が以下であることを確認します。

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • ID プロバイダー AWS Directory Service として から AD Connector を使用している場合は、サービスアカウントの認証情報が正しく、有効期限が切れていないことを確認します。詳細については、「 で AD Connector サービスアカウントの認証情報を更新する AWS Directory Service」を参照してください。

ユーザーが IAM Identity Center からのメールを受信できません

IAM Identity Center サービスで送信されるすべてのメールは、アドレス no-reply@signin.aws または no-reply@login.awsapps.com のいずれかから送信されます。メールシステムは、これらの送信者 E メールアドレスからの E メールを受け入れ、迷惑メールやスパムとして処理しないように設定する必要があります。

エラー: 管理アカウントにプロビジョニングされたアクセス権限セットを削除/変更/削除/割り当てることはできません

このメッセージは、委任された管理この機能が有効になっていること、および以前に試行したオペレーションは、 で管理アカウントのアクセス許可を持つユーザーのみが正常に実行できることを示します AWS Organizations。この問題を解決するには、これらのアクセス許可を持つユーザーとしてサインインし、タスクを再度実行するか、正しいアクセス許可を持つユーザーにこのタスクを割り当てます。詳細については、「メンバーアカウントを作成する」を参照してください。

エラー: セッショントークンが見つからないか無効です

このエラーは、ウェブブラウザ、 AWS Toolkit、 などのクライアントが AWS CLI、サーバー側で取り消または無効化されたセッションを使用しようとすると発生する可能性があります。この問題を修正するには、クライアントアプリケーションまたはウェブサイトに戻り、プロンプトが表示されたら再度ログインするなど、もう一度試してください。これには、IDE AWS Toolkit 内の からの保留中の接続試行など、保留中のリクエストをキャンセルする必要が生じる場合があります。