IAM Identity Center の問題のトラブルシューティング - AWS IAM Identity Center
IAM アイデンティティセンターのアカウントインスタンスの作成に関する問題IAM アイデンティティセンターと連携するように事前設定されているクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。IAM Identity Center によって作成された SAML アサーションの内容に関する問題特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラーユーザー名が UPN 形式の場合、ユーザーはサインインできませんIAM ロールを変更すると、「Cannot perform the operation on the protected role」(保護されたロールでオペレーションを実行できません) というエラーが発生するディレクトリユーザーが、パスワードをリセットできませんユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできませんアプリケーションカタログからアプリケーションを正しく設定できないユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生しますエラー「アクセスコントロールのための属性の有効化に失敗しました」MFA にデバイスを登録しようとすると、「Browser not supported」(サポートされていないブラウザ) というメッセージが表示されます。アクティブディレクトリの「ドメインユーザー」グループが IAM Identity Center に正しく同期しない無効な MFA 認証情報エラー認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されますIAM アイデンティティセンターへのサインインを試行すると、「ご迷惑をおかけしています」と表示されますユーザーが IAM Identity Center からのメールを受信できませんエラー: 管理アカウントにプロビジョニングされたアクセス権限セットを削除/変更/削除/割り当てることはできませんエラー: セッショントークンが見つからない、または無効です

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の問題のトラブルシューティング

以下は、IAM Identity Center コンソールを設定または使用するときに発生する可能性のある問題のトラブルシューティングに役立ちます。

IAM アイデンティティセンターのアカウントインスタンスの作成に関する問題

IAM アイデンティティセンターのアカウントインスタンスを作成する場合、いくつかの制限が適用される場合があります。IAM Identity Center コンソールからアカウントインスタンスを作成できない場合、またはサポートされている AWS マネージドアプリケーションのセットアップエクスペリエンスについては、次のユースケースを確認してください。

  • アカウントインスタンスを作成しようとしている AWS アカウント AWS リージョン の他の を確認します。IAM アイデンティティセンターのインスタンスは AWS アカウントにつき 1 つに制限されています。アプリケーションを有効にするには、IAM アイデンティティセンターのインスタンス AWS リージョン で に切り替えるか、IAM アイデンティティセンターのインスタンスがないアカウントに切り替えます。

  • 2023 年 9 月 14 日より前に IAM アイデンティティセンターを有効にしている組織は、管理者がアカウントインスタンスの作成にオプトインする必要がある場合があります。管理者と協力して、管理アカウントの IAM アイデンティティセンターコンソールからアカウントインスタンスを作成できるようにします。

  • 管理者が IAM アイデンティティセンターのアカウントインスタンスの作成を制限するサービスコントロールポリシーを作成した可能性があります。管理者と協力してアカウントを許可リストに追加します。

IAM アイデンティティセンターと連携するように事前設定されているクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。

以下のエラーは、sso:ListApplications は許可するが、他の IAM アイデンティティセンター API は許可しないポリシーがある場合に発生します。ポリシーを更新してこのエラーを解決します。

ListApplications アクセス許可は複数の API を承認します。

  • ListApplications API。

  • IAM アイデンティティセンターコンソールで使用される ListApplicationProviders API に似た内部 API。

重複を解決するために、内部 API も ListApplicationProviders アクションの使用を許可するようになりました。パブリック ListApplications API を許可し、内部 API を拒否するには、ポリシーに ListApplicationProviders アクションを拒否するステートメントを含める必要があります。


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

内部 API を許可して ListApplications を拒否するには、ポリシーで ListApplicationProviders のみ許可する必要があります。ListApplications API は明示的に許可されない場合は拒否されます。


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

ポリシーが更新されたら、 サポート に連絡して、このプロアクティブメジャーを削除してもらいます。

IAM Identity Center によって作成された SAML アサーションの内容に関する問題

IAM Identity Center は、 AWS アクセスポータルから AWS アカウント および SAML アプリケーションにアクセスするときに、IAM Identity Center によって作成および送信される SAML アサーションのウェブベースのデバッグエクスペリエンスを提供します。これには、これらのアサーション内の属性が含まれます。IAM Identity Center が生成する SAML アサーションの詳細を確認するには、以下の手順を行います。

  1. AWS アクセスポータルにサインインします。

  2. ポータルにサインインしている状態で、Shift キーを押しながらアプリケーションタイルを選択し、Shift キーを離します。

  3. [You are now in administrator mode] (現在、管理者モードです) ページの情報を調べます。この情報を保存しておきたい場合は、[Copy XML] をクリックして、その内容を別の場所に貼り付けます。

  4. [Send to <application>] (<アプリケーション>に送信する) をクリックして続けます。このオプションは、アサーションをサービスプロバイダに送信します。

注記

ブラウザの設定やオペレーティングシステムによっては、この手順をサポートしていない場合があります。この手順は、Firefox、Chrome、Edge ブラウザを使用して Windows 10 で評価されています。

特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません

お使いの ID プロバイダー (IdP) が SCIM 同期を使用して IAM アイデンティティセンターにユーザーをプロビジョニングするように構成されている場合、ユーザープロビジョニングプロセス中に同期エラーが発生する可能性があります。この場合、お使いの IdP のユーザー設定が IAM あの要件と互換性がない可能性があります。その場合、IAM アイデンティティセンター SCIM API は問題の根本原因に関するエラーメッセージを返します。これらのエラーメッセージは、お使いの IdP のログまたは UI で確認できます。また、プロビジョニングの失敗に関する詳細情報は AWS CloudTrail ログでも確認できます。

IAM アイデンティティセンターSCIM 実装の詳細 (ユーザーオブジェクトに必須の、あるいはオプションの、もしくは禁止されているパラメータや操作の仕様など) は、「SCIM Developer Guide」の「IAM Identity Center SCIM Implementation Developer Guide」に記載されています。

このエラーが発生する一般的な理由は以下のとおりです。

  1. IdP のユーザーオブジェクトに、名 (given)、姓 (family)、もしくは表示名がありません。

    エラーメッセージ: 2 つの検証エラーが検出されました。'name.givenName' の値が制約を満たせませんでした。メンバーは正規表現パターン [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+ を満たす必要があります。 'name.givenName' の値が制約を満たせませんでした。メンバーの長さは 1 以上である必要があります

    1. 解決策: ユーザーオブジェクト向けに、名 (given)、姓 (family)、表示名を追加します。さらに、IdP のユーザーオブジェクトに対する SCIM プロビジョニングマッピングが、これらの属性すべてに対して空ではない値を送信するように構成されていることを確認してください。

  2. 1 つの属性に対して複数の値がユーザーに送信されています (「マルチバリュー属性」とも知られれています)。例えば、ユーザーが IdP で職場と自宅の両方の電話番号を指定していたり、複数の E メールや実際の住所を指定していたりする場合、IdP はその属性の複数またはすべての値を同期するように設定されています。

    エラーメッセージ:List attribute emails exceeds allowed limit of 1

    1. ソリューションオプション:

      1. IdP のユーザーオブジェクトに対する SCIM プロビジョニングマッピングを更新して、特定の属性に対して単一の値のみを送信するようにします。例えば、各ユーザーの職場の電話番号のみを送信するマッピングを設定します。

      2. IdP でユーザーオブジェクトから追加属性を安全に削除できる場合は、追加値を削除して、ユーザーのその属性に設定された値を 1 つまたは完全に無くすことができます。

      3. のアクションに 属性が必要ない場合は AWS、IdP のユーザーオブジェクトの SCIM プロビジョニングマッピングからその属性のマッピングを削除します。

  3. お客様の IdP は、複数の属性に基づいてターゲット (ここでは IAM Identity Center) のユーザーをマッチさせようとします。ユーザー名は、特定の IAM Identity Center インスタンス内で一意であることが保証されているため、マッチングに使用する属性として username 指定するだけです。

    1. 解決策: IdP の SCIM 構成が、IAM Identity Center でのユーザーとのマッチングに単一の属性のみを使用していることを確認します。例えば、IAM Identity Center へのプロビジョニングのために、IdP の username または userPrincipalName を SCIM の userName 属性にマッピングすることは、ほとんどの実装で十分に要件を満たします。

外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー

外部 ID プロバイダー (IdP) でユーザーまたはグループをプロビジョニングする際に IAM アイデンティティセンターの同期の問題が発生する場合は、外部 IdP ユーザーまたはグループが一意の属性値を持っていないことが原因である可能性があります。外部 IdP に次のようなエラーメッセージが表示されます。

Refused to create a new, duplicate resource

この問題は、次のようなシナリオで発生する可能性があります。

  • シナリオ 1

    • IAM アイデンティティセンターにおいて一意でなければならない属性に、外部 IdP でカスタマイズされた一意でない属性が使用されています。既存の IAM アイデンティティセンターのユーザーまたはグループは、お使いの IdP と同期できません。

  • シナリオ 2

    • IAM アイデンティティセンターで一意でなければならない属性について、重複する属性値を持つユーザーを作成しようとしました。

      • 例えば、次のような属性を持つ IAM アイデンティティセンターユーザーを作成したか、またはそのような既存のユーザーが存在します。

        • ユーザー名: Jane Doe

        • プライマリ E メールアドレス: jane_doe@example.com

      • ここで、外部 IdP に次の属性を持つ別のユーザーを作成しようとしたとします。

        • ユーザー名: Richard Doe

        • プライマリ E メールアドレス: jane_doe@example.com

          • 外部 IdP は、IAM アイデンティティでもこのユーザーを同期および作成しようと試みます。ただし、2 つのユーザーのプライマリメールアドレスの値が重複しており、プライマリメールアドレスは一意でなければならないため、このアクションは失敗します。

外部 IdP ユーザーが IAM Identity Center に正常に同期するには、ユーザー名、プライマリ E メールアドレス、および externalID が一意である必要があります。同様に、外部 IdP グループを IAM アイデンティティセンターに正常に同期するには、グループ名が一意である必要があります。

問題を解決するには、ID ソースの属性が一意であることを確認してください。

ユーザー名が UPN 形式の場合、ユーザーはサインインできません

ユーザーは、サインインページでユーザー名を入力するために使用する形式に基づいて、 AWS アクセスポータルにサインインできない場合があります。通常、ユーザーは、プレーンなユーザー名、ダウンレベルのログオン名 (DOMAIN\UserName)、UPN のログオン名 (UserName@Corp.Example.com) のいずれかを使ってユーザーポータルにサインインできます。ただし、IAM Identity Center が MFA を有効にした接続ディレクトリを使用しており、検証モードが Context-aware または Always-on のいずれかに設定されている場合は例外です。このシナリオでは、ユーザーは下位レベルのログオン名 (DOMAIN\UserName) でサインインする必要があります。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。アクティブディレクトリへのサインインに使用されるユーザー名の形式についての一般的な情報は、Microsoft のドキュメントサイトの「User Name Formats」(ユーザー名形式) を参照してください。

IAM ロールを変更すると、「Cannot perform the operation on the protected role」(保護されたロールでオペレーションを実行できません) というエラーが発生する

アカウントの IAM ロールを確認すると、「AWSReservedSSO_」で始まるロール名だと気づくと思います。これらは、IAM Identity Center サービスがアカウントに作成したロールであり、アカウントにアクセス権限セットを割り当てたものです。IAM コンソール内からこれらのロールを変更しようとすると、次のエラーが発生します。

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

これらのロールは、 の管理アカウントにある IAM Identity Center 管理者コンソールからのみ変更できます AWS Organizations。変更後は、割り当てられている AWS アカウントに変更を反映させることができます。

ディレクトリユーザーが、パスワードをリセットできません

ディレクトリユーザーが AWS アクセスポータルのサインイン時にパスワードを忘れた場合? オプションを使用してパスワードをリセットする場合、新しいパスワードは「」で説明されているデフォルトのパスワードポリシーに従う必要がありますIAM Identity Center で ID を管理する際のパスワード要件

ユーザーがポリシーに準拠するパスワードを入力し、エラー を受け取った場合はWe couldn't update your password、 が失敗 AWS CloudTrail を記録したかどうかを確認します。これは、CloudTrail の Event History (イベントの履歴) コンソールで以下のフィルターを使って検索できます。

"UpdatePassword"

メッセージに次のように記載されている場合は、サポートに連絡する必要があります。

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

この問題の別の原因として、ユーザー名の値が命名規則に反していることが考えられます。命名規則は、「surname.givenName」などの特定のパターンに従う必要があります。しかし、ユーザー名の中には非常に長いものや特殊な文字を含むものがあり、API コールの中で文字が抜けてしまい、エラーになってしまうことがあります。同じ方法でテストユーザーとパスワードのリセットを試みて、これが当てはまるかどうかを確認することもできます。

問題が解決しない場合は、AWS サポートセンターまでお問い合わせください。

ユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできません

この問題は、クロスドメイン ID 管理 (SCIM) システムを外部の ID プロバイダーで使用している場合に発生します。具体的には、ユーザーまたはユーザーが所属していたグループが削除された後、ID プロバイダーで同じユーザー名 (ユーザーの場合) または名前 (グループの場合) を使用して再作成された場合、IAM Identity Center では新しいユーザーまたはグループに新しい一意の内部識別子が作成されます。しかし、IAM Identity Center は権限データベースに古い識別子への参照を保持しているため、ユーザーやグループの名前は UI に表示されますが、アクセスは失敗します。これは、UI が参照するときのベースとなるユーザーまたはグループ ID がもはや存在しないためです。

この場合 AWS アカウント 、アクセスを復元するには、最初に割り当てられた AWS アカウント(複数可) から古いユーザーまたはグループのアクセスを削除し、ユーザーまたはグループにアクセスを再割り当てします。これにより、新しいユーザーまたはグループの正しい識別子でアクセス権限セットが更新されます。同様に、アプリケーションのアクセス権を回復するには、そのアプリケーションの割り当てユーザーリストからそのユーザーまたはグループのアクセス権を削除し、その後、そのユーザーまたはグループを再び追加します。

また、問題のユーザーまたはグループの名前を参照する SCIM 同期イベントを CloudTrail ログで検索して、 が失敗 AWS CloudTrail を記録したかどうかを確認することもできます。

アプリケーションカタログからアプリケーションを正しく設定できない

IAM アイデンティティセンターのアプリケーションカタログからアプリケーションを追加した場合は、各サービスプロバイダーが独自の詳細なドキュメントを提供していることに注意してください。この情報は、IAM アイデンティティセンターコンソール上でアプリケーションの [設定] タブから確認できます。

問題が、サービスプロバイダーのアプリケーションと IAM Identity Center の間の信頼関係の設定に関係している場合は、必ず手順書でトラブルシューティングのステップを確認してください。

ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します

このエラーは複数の理由で発生する可能性がありますが、よくあるのは、SAML リクエストで送信したユーザー情報と IAM Identity Center でのユーザー情報との間にミスマッチがあることが挙げられます。

IAM Identity Center のユーザーが、外部の IdP を ID ソースとして使用しているときに正常にサインインするためには、以下の条件を満たす必要があります。

  • SAML nameID 形式 (アイデンティティプロバイダーで設定) は「E メール」でなければなりません。

  • nameID の値は、適切に (RFC2822) でフォーマットされた文字列である必要があります (user@domain.com)

  • nameID の値は、IAM Identity Center の既存ユーザーのユーザー名と完全に一致する必要があります (IAM Identity Center のメールアドレスが一致するかどうかは問題ではありません - インバウンドマッチはユーザー名に基づいて行われます)。

  • SAML 2.0 フェデレーションの IAM Identity Center 実装では、ID プロバイダーと IAM Identity Center 間の SAML レスポンスで 1 つのアサーションのみがサポートされます。暗号化された SAML アサーションはサポートされていません。

  • 以下の記述は、IAM Identity Center アカウントで アクセスコントロールの属性 が有効になっている場合に適用されます。

    • SAML リクエストでマッピングされる属性の数は、50 以下でなければなりません。

    • SAML リクエストに複数の値を持つ属性を含めることはできません。

    • SAML リクエストには、同じ名前の複数の属性を含めることはできません。

    • 属性の値として、構造化された XML を含んではいけません。

    • Name の形式は、汎用的な形式ではなく、SAML で指定された形式でなければなりません。

注記

IAM Identity Center は、SAML フェデレーションを介した新しいユーザーやグループの「ジャストインタイム」での作成はできません。つまり、IAM Identity Center にサインインするためには、手動または自動プロビジョニングによって、ユーザーが IAM Identity Center であらかじめ作成されている必要があります。

このエラーは、ID プロバイダーで構成されたアサーションコンシューマサービス (ACS) のエンドポイントが、IAM Identity Center インスタンスで提供された ACS の URL と一致しない場合にも発生します。この 2 つの値が正確に一致するようにしてください。

さらに、 に移動 AWS CloudTrail し、イベント名 ExternalIdPDirectoryLogin でフィルタリングすることで、外部 ID プロバイダーのサインイン失敗をさらにトラブルシューティングできます。

エラー「アクセスコントロールのための属性の有効化に失敗しました」

このエラーは、ABAC を有効にしているユーザーが、アクセスコントロールの属性 を有効にするために必要な iam:UpdateAssumeRolePolicy 権限を持っていない場合に発生することがあります。

MFA にデバイスを登録しようとすると、「Browser not supported」(サポートされていないブラウザ) というメッセージが表示されます。

WebAuthn は現在、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari の各ウェブブラウザ、および Windows 10 と Android プラットフォームに対応しています。WebAuthn のサポートには、macOS と iOS のブラウザでのプラットフォーム認証のサポートなど、さまざまなコンポーネントがあります。サポートされていないブラウザやプラットフォームで WebAuthn デバイスを登録しようとすると、サポートされていない特定のオプションがグレーアウトで表示されたり、サポートされているメソッドがサポートされていないというエラー表示になったりします。このような場合のブラウザ/プラットフォームのサポートについては、「FIDO2: Web Authentication (WebAuthn)」(FIDO2: ウェブ認証 (WebAuthn)) を参照してください。IAM Identity Center の WebAuthn の詳細については、「FIDO2 認証機能」を参照してください。

アクティブディレクトリの「ドメインユーザー」グループが IAM Identity Center に正しく同期しない

アクティブディレクトリのドメインユーザーグループは、AD ユーザーオブジェクトのデフォルトの「プライマリグループ」です。アクティブディレクトリのプライマリグループとそのメンバシップは、IAM Identity Center では読み取れません。IAM Identity Center リソースまたはアプリケーションへのアクセスを割り当てる際には、グループメンバーシップが IAM Identity Center ID ストアに適切に反映されるように、ドメインユーザーグループ (またはプライマリグループとして割り当てられた他のグループ) 以外のグループを使用してください。

無効な MFA 認証情報エラー

このエラーは、SCIM プロトコルを使用してアカウントが IAM Identity Center に完全にプロビジョニングされる前に、ユーザーが外部 ID プロバイダー (Okta または Microsoft Entra ID など) のアカウントを使用して IAM Identity Center にサインインしようとすると発生する可能性があります。ユーザーアカウントが IAM Identity Center にプロビジョニングされると、この問題は解決します。アカウントが IAM Identity Center にプロビジョニングされていることを確認します。されていない場合は、外部 ID プロバイダーのプロビジョニングログを確認します。

認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されます

コードベースの認証アプリケーションと組み合わせて IAM Identity Center で使用されるような、タイムベースドワンタイムパスワード (TOTP) システムは、クライアントとサーバー間の時間の同期に依存しています。認証システムのアプリケーションをインストールしているデバイスが信頼できるタイムソースに正しく同期されていることを確認するか、またはデバイスの時間を、NIST (https://www.time.gov/) やその他のローカル/地域など、信頼できるソースと一致するように手動で設定してください。

IAM アイデンティティセンターへのサインインを試行すると、「ご迷惑をおかけしています」と表示されます

このエラーは、IAM アイデンティティセンターのインスタンス、または IAM アイデンティティセンターが ID ソースとして使用している外部 ID プロバイダー (IdP) の設定に問題があることを示しています。この場合、以下を確認することをお勧めします。

  • サインインに使用するデバイスの日付と時刻の設定を確認してください。日付と時刻は自動設定にすることをお勧めします。自動設定が利用できない場合には、日付と時刻を既知の Network Time Protocol (NTP) サーバーに同期するとよいでしょう。

  • IAM アイデンティティセンターにアップロードされた IdP 証明書が、お使いの IdP から提供される証明書と同じであることを確認してください。IAM アイデンティティセンターコンソールで証明書を確認するには、[設定] に移動します。[ID ソース] タブで [アクション] > [認証の管理] を選択します。IdP と IAM アイデンティティセンターの証明書が一致しない場合は、新しい証明書を IAM アイデンティティセンターにインポートします。

  • ID プロバイダーのメタデータファイルの NameID 形式が以下に従っていることを確認します。

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • から ID プロバイダー AWS Directory Service として AD Connector を使用している場合は、サービスアカウントの認証情報が正しく、有効期限が切れていないことを確認します。詳細については、「Update your AD Connector service account credentials in AWS Directory Service」を参照してください。

ユーザーが IAM Identity Center からのメールを受信できません

IAM Identity Center サービスで送信されるすべてのメールは、アドレス no-reply@signin.aws または no-reply@login.awsapps.com のいずれかから送信されます。これらの送信者メールアドレスからのメールを受け入れ、ジャンクやスパムとして処理しないようにお使いのメールシステムを設定する必要があります。

エラー: 管理アカウントにプロビジョニングされたアクセス権限セットを削除/変更/削除/割り当てることはできません

このメッセージは、委任された管理 機能が有効になっており、試行された操作は AWS Organizationsで管理アカウント権限を持つユーザーのみが正常に実行できるものであることを示しています。この問題を解決するには、これらの権限を持つユーザーとしてサインインし、タスクをもう一度実行してみるか、適切な権限を持つユーザーにこのタスクを割り当ててください。詳細については、「メンバーアカウントを作成する」を参照してください。

エラー: セッショントークンが見つからない、または無効です

このエラーは、ウェブブラウザ、 AWS Toolkit、 などのクライアントが AWS CLI、サーバー側で取り消された、または無効化されたセッションを使用しようとしたときに発生する可能性があります。この問題を修正するには、該当するクライアントアプリケーションまたは Web サイトに戻り、プロンプトが表示されたら再度ログインするなどの対応を試してください。これには、IDE AWS Toolkit 内の からの保留中の接続試行など、保留中のリクエストもキャンセルする必要がある場合があります。