Registro de llamadas a la API del IAM Identity Center SCIM con AWS CloudTrail - AWS IAM Identity Center
Ejemplos CloudTrail de eventosErrores comunes de validación de la API de SCIM en IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de llamadas a la API del IAM Identity Center SCIM con AWS CloudTrail

El SCIM de IAM Identity Center está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, rol o un. Servicio de AWS CloudTrail captura las llamadas a la API del SCIM como eventos. Con la información recopilada por CloudTrail, puede determinar la información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Para obtener más información CloudTrail, consulte la Guía AWS CloudTrail del usuario.

nota

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. Sin embargo, es posible que tenga que rotar su token de acceso para ver los eventos de SCIM, si su token se creó antes de septiembre de 2024.

Para obtener más información, consulte Rotar un token de acceso.

SCIM admite el registro de las siguientes operaciones como eventos en CloudTrail:

Ejemplos CloudTrail de eventos

Los siguientes ejemplos muestran los registros de CloudTrail eventos típicos generados durante las operaciones de SCIM con el IAM Identity Center. Estos ejemplos muestran la estructura y el contenido de los eventos para que las operaciones se realicen correctamente y los escenarios de error más comunes, lo que le ayuda a entender cómo interpretar los CloudTrail registros a la hora de solucionar problemas de aprovisionamiento del SCIM.

Operación de CreateUser exitosa

Este CloudTrail evento muestra una CreateUser operación realizada correctamente a través de la API SCIM. El evento captura tanto los parámetros de la solicitud (ocultando la información confidencial) como los elementos de respuesta, incluido el ID del usuario recién creado. Este tipo de evento se genera cuando un proveedor de identidades aprovisiona correctamente un nuevo usuario a IAM Identity Center mediante el protocolo SCIM.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Operación de PatchGroup fallida: falta el atributo de ruta obligatorio

Este CloudTrail evento muestra una PatchGroup operación fallida que dio lugar a un mensaje de error ValidationException con el mensaje "Missing path in PATCH request" de error. El error se produjo porque la operación PATCH requiere un atributo de ruta para especificar qué atributo de grupo se debe modificar, pero este atributo no aparecía en la solicitud.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Operación de CreateGroup fallida: el nombre del grupo ya existe

Este CloudTrail evento muestra una CreateGroup operación fallida que dio lugar a un mensaje de error ConflictException con el mensaje de error"Duplicate GroupDisplayName". Este error se produce al intentar crear un grupo con un nombre para mostrar que ya existe en IAM Identity Center. El proveedor de identidades debe utilizar un nombre de grupo único o actualizar el grupo existente en lugar de crear otro nuevo.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Operación de PatchUser fallida: no se admiten varias direcciones de correo electrónico

Este CloudTrail evento muestra una PatchUser operación fallida que dio lugar a un mensaje de error ValidationException con el mensaje de error"List attribute emails exceeds allowed limit of 1". Este error se produce al intentar asignar varias direcciones de correo electrónico a un usuario, ya que IAM Identity Center solo admite una dirección de correo electrónico por usuario. El proveedor de identidades debe configurar el mapeo SCIM para enviar solo una dirección de correo electrónico para cada usuario.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Errores comunes de validación de la API de SCIM en IAM Identity Center

Los siguientes mensajes de error de validación suelen aparecer en CloudTrail los eventos cuando se utiliza la API SCIM con el IAM Identity Center. Estos errores de validación suelen producirse durante las operaciones de aprovisionamiento de usuarios y grupos.

Para obtener una guía detallada sobre cómo resolver estos errores y configurar correctamente el aprovisionamiento de SCIM, consulte este artículo de AWS re:Post.

  • El correo electrónico con el atributo de la lista supera el límite permitido de 1

  • El límite permitido de direcciones de atributos de lista es de 1

  • Se detectó un error de validación: el valor de '*name.familyName*' no cumplía la restricción: el miembro debe cumplir el patrón de expresión regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • Se detectaron dos errores de validación: el valor de 'name.familyName' no pudo cumplir la restricción: el miembro debe tener una longitud mayor o igual a 1; el valor de 'name.familyName' no pudo cumplir la restricción: el miembro debe cumplir el patrón de expresión regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • Se detectaron dos errores de validación: el valor de 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' no cumplía la restricción: el miembro debe tener una longitud mayor o igual a 1; el valor en 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' no pudo cumplir la restricción: el miembro debe cumplir con la expresión regular patrón: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+",

  • JSON no válido de RequestBody

  • Formato de filtro no válido