Registro em log das chamadas de API SCIM do IAM Identity Center com o AWS CloudTrail - AWS IAM Identity Center
Exemplos de CloudTrail eventosErros comuns de validação da API SCIM no IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registro em log das chamadas de API SCIM do IAM Identity Center com o AWS CloudTrail

O IAM Identity Center SCIM é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura chamadas de API para o SCIM como eventos. Usando as informações coletadas por CloudTrail, você pode determinar as informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. Para saber mais CloudTrail, consulte o Guia AWS CloudTrail do usuário.

nota

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. No entanto, talvez seja necessário alternar seu token de acesso para ver os eventos do SCIM, caso seu token tenha sido criado antes de setembro de 2024.

Para obter mais informações, consulte Fazer rodízio de um token de acesso.

O SCIM suporta o registro das seguintes operações como eventos em: CloudTrail

Exemplos de CloudTrail eventos

Os exemplos a seguir demonstram registros de CloudTrail eventos típicos gerados durante as operações do SCIM com o IAM Identity Center. Esses exemplos mostram a estrutura e o conteúdo dos eventos para operações bem-sucedidas e cenários de erro comuns, ajudando você a entender como interpretar os CloudTrail registros ao solucionar problemas de provisionamento do SCIM.

CreateUserOperação bem-sucedida

Este CloudTrail evento mostra uma CreateUser operação bem-sucedida realizada por meio da API SCIM. O evento captura os parâmetros da solicitação (com informações confidenciais mascaradas) e os elementos de resposta, incluindo o ID do usuário recém-criado. Esse tipo de evento é gerado quando um provedor de identidade provisiona com sucesso um novo usuário para o IAM Identity Center usando o protocolo SCIM.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Falha PatchGroup na operação: falta o atributo de caminho obrigatório

Esse CloudTrail evento mostra uma falha na PatchGroup operação que resultou em ValidationException uma mensagem de erro"Missing path in PATCH request". O erro ocorreu porque a PATCH operação exige um atributo de caminho para especificar qual atributo de grupo modificar, mas esse atributo estava ausente na solicitação.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Falha CreateGroup na operação: o nome do grupo já existe

Esse CloudTrail evento mostra uma falha na CreateGroup operação que resultou em ConflictException uma mensagem de erro"Duplicate GroupDisplayName". Esse erro ocorre ao tentar criar um grupo com um nome de exibição que já existe no IAM Identity Center. O provedor de identidade deve usar um nome de grupo exclusivo ou atualizar o grupo existente em vez de criar um novo.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Falha PatchUser na operação: vários endereços de e-mail não suportados

Esse CloudTrail evento mostra uma falha na PatchUser operação que resultou em ValidationException uma mensagem de erro"List attribute emails exceeds allowed limit of 1". Esse erro ocorre ao tentar atribuir vários endereços de e-mail a um usuário, pois o IAM Identity Center suporta apenas um endereço de e-mail por usuário. O provedor de identidade deve configurar o mapeamento SCIM para enviar somente um único endereço de e-mail para cada usuário.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Erros comuns de validação da API SCIM no IAM Identity Center

As mensagens de erro de validação a seguir geralmente aparecem em CloudTrail eventos ao usar a API SCIM com o IAM Identity Center. Esses erros de validação geralmente ocorrem durante as operações de provisionamento de usuários e grupos.

Para obter orientação detalhada sobre como resolver esses erros e configurar adequadamente o provisionamento do SCIM, consulte este artigo.AWS re:Post

  • E-mail de atributo de lista excede o limite permitido de 1

  • Limite permitido de endereços de atributo de lista de 1

  • 1 erros de validação detectados: o valor em '*name.familyName*' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • 2 erros de validação detectados: o valor em 'name.familyName' não satisfez a restrição: o comprimento do membro deve ser maior ou igual a 1; o valor em 'name.familyName' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • 2 erros de validação detectados: o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve ter comprimento maior ou igual a 1; o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\n\\ r] +",

  • JSON inválido de RequestBody

  • Formato de arquivo inválido