Behebung von Problemen mit IAM Identity Center - AWS IAM Identity Center
Probleme beim Erstellen einer Kontoinstanz von IAM Identity CenterSie erhalten eine Fehlermeldung, wenn Sie versuchen, die Liste der Cloud-Anwendungen aufzurufen, die für die Verwendung mit IAM Identity Center vorkonfiguriert sindProbleme mit dem Inhalt von SAML Assertions, die von IAM Identity Center erstellt wurdenBestimmte Benutzer können sich von einem externen SCIM Anbieter nicht mit IAM Identity Center synchronisierenBenutzer können sich nicht anmelden, wenn ihr Benutzername ein Format hat UPNBeim Ändern einer Rolle erhalte ich die Fehlermeldung „Der Vorgang kann mit der geschützten Rolle nicht ausgeführt werden“ IAMVerzeichnisbenutzer können ihr Passwort nicht zurücksetzenMein Benutzer wird in einem Berechtigungssatz referenziert, kann aber nicht auf die zugewiesenen Konten oder Anwendungen zugreifenIch kann meine Anwendung nicht korrekt aus dem Anwendungskatalog konfigurierenFehler „Ein unerwarteter Fehler ist aufgetreten“, wenn ein Benutzer versucht, sich mit einem externen Identitätsanbieter anzumeldenFehler „Die Attribute für die Zugriffskontrolle konnten nicht aktiviert werden“Ich erhalte die Meldung „Browser wird nicht unterstützt“, wenn ich versuche, ein Gerät für zu registrieren MFADie Active Directory-Gruppe „Domänenbenutzer“ wird nicht ordnungsgemäß mit IAM Identity Center synchronisiertFehler „Ungültige MFA Anmeldeinformationen“Ich erhalte die Meldung „Ein unerwarteter Fehler ist aufgetreten“, wenn ich versuche, mich mit einer Authenticator-App zu registrieren oder anzumeldenIch erhalte die Fehlermeldung „Nicht du, es sind wir“, wenn ich versuche, mich bei Identity Center anzumelden IAMMeine Benutzer erhalten keine E-Mails von IAM Identity CenterFehler: Sie können nicht delete/modify/remove/assign auf die im Verwaltungskonto bereitgestellten Berechtigungssätze zugreifenFehler: Das Sitzungstoken wurde nicht gefunden oder ist ungültig

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Problemen mit IAM Identity Center

Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Einrichtung oder Verwendung der IAM Identity Center-Konsole auftreten können.

Probleme beim Erstellen einer Kontoinstanz von IAM Identity Center

Bei der Erstellung einer Kontoinstanz von IAM Identity Center können mehrere Einschränkungen gelten. Wenn Sie keine Kontoinstanz über die IAM Identity Center-Konsole oder die Einrichtung einer unterstützten AWS verwalteten Anwendung erstellen können, überprüfen Sie die folgenden Anwendungsfälle:

  • Klicken Sie AWS-Regionen in der Instanz, AWS-Konto in der Sie versuchen, die Kontoinstanz zu erstellen, auf andere. Sie sind auf eine IAM Identity Center-Instanz pro Instanz beschränkt AWS-Konto. Um die Anwendung zu aktivieren, wechseln Sie entweder zu der AWS-Region mit der Instanz von IAM Identity Center oder zu einem Konto ohne eine Instanz von IAM Identity Center.

  • Wenn Ihr Unternehmen IAM Identity Center vor dem 14. September 2023 aktiviert hat, muss Ihr Administrator möglicherweise der Erstellung einer Kontoinstanz zustimmen. Arbeiten Sie mit Ihrem Administrator zusammen, um die Erstellung von Kontoinstanzen über die IAM Identity Center-Konsole im Verwaltungskonto zu aktivieren.

  • Ihr Administrator hat möglicherweise eine Service Control-Richtlinie erstellt, um die Erstellung von Kontoinstanzen von IAM Identity Center einzuschränken. Arbeiten Sie mit Ihrem Administrator zusammen und fügen Sie Ihr Konto zur Zulassungsliste hinzu.

Sie erhalten eine Fehlermeldung, wenn Sie versuchen, die Liste der Cloud-Anwendungen aufzurufen, die für die Verwendung mit IAM Identity Center vorkonfiguriert sind

Der folgende Fehler tritt auf, wenn Sie eine Richtlinie haben, die andere IAM Identity Center APIs zulässt, sso:ListApplications aber nicht. Aktualisieren Sie Ihre Richtlinie, um diesen Fehler zu beheben.

Die ListApplications Erlaubnis autorisiert mehrereAPIs:

  • Die ListApplicationsAPI.

  • Ein internes, das dem in der IAM Identity Center-Konsole ListApplicationProviders API verwendeten API ähnelt.

Um Duplikate zu vermeiden, autorisiert das interne API System jetzt auch die Verwendung der ListApplicationProviders Aktion. Um die Öffentlichkeit zuzulassen, ListApplications API aber die interne Aktion zu verweigernAPI, muss Ihre Richtlinie eine Erklärung enthalten, die die Aktion ablehnt: ListApplicationProviders


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

Um das Interne zuzulassen, API aber abzulehnenListApplications, muss die Richtlinie nur ListApplicationProviders zulassen. Das ListApplications API wird verweigert, wenn es nicht ausdrücklich erlaubt ist.


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

Wenn Ihre Richtlinien aktualisiert werden, wenden Sie sich an uns, AWS Support um diese proaktive Maßnahme entfernen zu lassen.

Probleme mit dem Inhalt von SAML Assertions, die von IAM Identity Center erstellt wurden

IAMIdentity Center bietet eine webbasierte Debug-Oberfläche für die von IAM Identity Center erstellten und gesendeten SAML Assertions, einschließlich der in diesen Assertionen enthaltenen Attribute, beim Zugriff AWS-Konten und bei SAML Anwendungen über das Zugriffsportal. AWS Gehen Sie wie folgt vor, um die Details einer von IAM Identity Center generierten SAML Assertion einzusehen.

  1. Melden Sie sich beim AWS Zugangsportal an.

  2. Halten Sie die Umschalttaste gedrückt, während Sie im Portal angemeldet sind, wählen Sie die Anwendungskachel aus, und lassen Sie dann die Umschalttaste los.

  3. Überprüfen Sie die Informationen auf der Seite mit dem Titel You are now in administrator mode (Sie befinden sich jetzt im Administratormodus). Um diese Informationen zum future Nachschlagen aufzubewahren, wählen Sie Kopieren XML und fügen Sie den Inhalt an einer anderen Stelle ein.

  4. Wählen Sie Senden an, <application>um fortzufahren. Diese Option sendet die Assertion an den Dienstanbieter.

Anmerkung

Einige Browserkonfigurationen und Betriebssysteme unterstützen dieses Verfahren möglicherweise nicht. Dieses Verfahren wurde unter Windows 10 mit den Browsern Firefox, Chrome und Edge getestet.

Bestimmte Benutzer können sich von einem externen SCIM Anbieter nicht mit IAM Identity Center synchronisieren

Wenn Ihr Identity Provider (IdP) so konfiguriert ist, dass Benutzer mithilfe der SCIM Synchronisation in IAM Identity Center bereitgestellt werden, kann es bei der Benutzerbereitstellung zu Synchronisierungsfehlern kommen. Dies kann darauf hindeuten, dass die Benutzerkonfiguration in Ihrem IdP nicht mit den IAM Identity Center-Anforderungen kompatibel ist. In diesem Fall gibt das IAM Identity Center SCIM APIs Fehlermeldungen zurück, die Aufschluss über die Ursache des Problems geben. Sie können diese Fehlermeldungen in den Protokollen oder der Benutzeroberfläche Ihres IdP finden. Alternativ finden Sie in den Protokollen möglicherweise detailliertere Informationen zu den Bereitstellungsfehlern.AWS CloudTrail

Weitere Informationen zu den IAM Identity SCIM Center-Implementierungen, einschließlich der Spezifikationen der erforderlichen, optionalen und nicht unterstützten Parameter und Operationen für Benutzerobjekte, finden Sie unter IAMIdentity Center SCIM Implementation Developer Guide im Developer Guide SCIM

Im Folgenden sind einige der häufigsten Gründe für diesen Fehler aufgeführt:

  1. Dem Benutzerobjekt im IdP fehlt ein Vorname (Vorname), ein Nachname (Familien-) Name und/oder ein Anzeigename.

    Fehlermeldung: „Es wurden 2 Validierungsfehler festgestellt: Wert bei 'name.givenName' Einschränkung konnte nicht erfüllt werden: Das Mitglied muss das Muster eines regulären Ausdrucks erfüllen: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\\n\\ r] +; Wert bei 'name.givenName' Die Einschränkung konnte nicht erfüllt werden: Das Element muss eine Länge von größer oder gleich 1" haben

    1. Lösung: Fügen Sie einen ersten (angegebenen), einen Nachnamen (Familie) und einen Anzeigenamen für das Benutzerobjekt hinzu. Stellen Sie außerdem sicher, dass die SCIM Bereitstellungszuordnungen für Benutzerobjekte bei Ihrem IdP so konfiguriert sind, dass sie nicht leere Werte für all diese Attribute senden.

  2. Es wird mehr als ein Wert für ein einzelnes Attribut an den Benutzer gesendet (auch als „Attribute mit mehreren Werten“ bezeichnet). Beispielsweise kann der Benutzer sowohl eine geschäftliche als auch eine private Telefonnummer im IdP angegeben haben oder mehrere E-Mails oder physische Adressen, und Ihr IdP ist so konfiguriert, dass er versucht, mehrere oder alle Werte für dieses Attribut zu synchronisieren.

    Fehlermeldung: „Listenattribut emails überschreitet den zulässigen Grenzwert von 1

    1. Lösungsoptionen:

      1. Aktualisieren Sie Ihre SCIM Bereitstellungszuordnungen für Benutzerobjekte bei Ihrem IdP, sodass nur ein einziger Wert für ein bestimmtes Attribut gesendet wird. Konfigurieren Sie beispielsweise eine Zuordnung, bei der nur die geschäftliche Telefonnummer für jeden Benutzer gesendet wird.

      2. Wenn die zusätzlichen Attribute sicher aus dem Benutzerobjekt am IdP entfernt werden können, können Sie die zusätzlichen Werte entfernen, sodass entweder ein oder kein Wert für dieses Attribut für den Benutzer festgelegt bleibt.

      3. Wenn das Attribut für keine Aktionen in benötigt wird AWS, entfernen Sie die Zuordnung für dieses Attribut aus den SCIM Bereitstellungszuordnungen für Benutzerobjekte bei Ihrem IdP.

  3. Ihr IdP versucht, Benutzer im Ziel (in diesem Fall IAM Identity Center) anhand mehrerer Attribute zuzuordnen. Da Benutzernamen innerhalb einer bestimmten IAM Identity Center-Instanz garantiert eindeutig sind, müssen Sie nur das Attribut angebenusername, das für den Abgleich verwendet wird.

    1. Lösung: Stellen Sie sicher, dass Ihre SCIM Konfiguration in Ihrem IdP nur ein einziges Attribut für den Abgleich mit Benutzern in IAM Identity Center verwendet. Beispielsweise ist die Zuordnung username oder userPrincipalName im IdP zum userName Attribut SCIM für die Bereitstellung in IAM Identity Center korrekt und für die meisten Implementierungen ausreichend.

Benutzer können sich nicht anmelden, wenn ihr Benutzername ein Format hat UPN

Benutzer können sich aufgrund des Formats, das sie für die Eingabe ihres Benutzernamens auf der Anmeldeseite verwenden, möglicherweise nicht beim AWS Access-Portal anmelden. In den meisten Fällen können sich Benutzer entweder mit ihrem einfachen Benutzernamen, ihrem untergeordneten Anmeldenamen (DOMAIN\UserName) oder ihrem UPN Anmeldenamen () beim Benutzerportal anmelden. UserName@Corp.Example.com Eine Ausnahme ist, wenn IAM Identity Center ein verbundenes Verzeichnis verwendet, das aktiviert wurde MFA und der Bestätigungsmodus entweder auf Kontextsensitiv oder Always-On gesetzt wurde. In diesem Szenario müssen sich Benutzer mit ihrem untergeordneten Anmeldenamen (\) anmelden. DOMAIN UserName Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Identity Center-Benutzer. Allgemeine Informationen zu Benutzernamenformaten, die für die Anmeldung bei Active Directory verwendet werden, finden Sie unter Benutzernamenformate auf der Microsoft-Dokumentationswebsite.

Beim Ändern einer Rolle erhalte ich die Fehlermeldung „Der Vorgang kann mit der geschützten Rolle nicht ausgeführt werden“ IAM

Bei der Überprüfung der IAM Rollen in einem Konto fallen Ihnen möglicherweise Rollennamen auf, die mit '_' beginnen. AWSReservedSSO Dies sind die Rollen, die der IAM Identity Center-Dienst für das Konto erstellt hat. Sie stammen aus der Zuweisung eines Berechtigungssatzes für das Konto. Der Versuch, diese Rollen von der IAM Konsole aus zu ändern, führt zu dem folgenden Fehler:

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

Diese Rollen können nur über die IAM Identity Center-Administratorkonsole geändert werden, die sich im Verwaltungskonto von befindet AWS Organizations. Nach der Änderung können Sie die Änderungen dann auf die AWS Konten übertragen, denen sie zugewiesen sind.

Verzeichnisbenutzer können ihr Passwort nicht zurücksetzen

Wenn ein Verzeichnisbenutzer sein Passwort mit der Option „Passwort vergessen“ zurücksetzt? Bei der Anmeldung am AWS Zugriffsportal muss das neue Passwort den standardmäßigen Passwortrichtlinien entsprechen, wie unter beschrieben. Passwortanforderungen bei der Verwaltung von Identitäten im IAM Identity Center

Wenn ein Benutzer ein Passwort eingibt, das der Richtlinie entspricht, und dann die Fehlermeldung erhältWe couldn't update your password, überprüfen Sie, ob der Fehler AWS CloudTrail aufgezeichnet wurde. Suchen Sie dazu in der Konsole „Event History“ nach oder CloudTrail verwenden Sie den folgenden Filter:

"UpdatePassword"

Wenn in der Nachricht Folgendes steht, müssen Sie sich möglicherweise an den Support wenden:

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

Eine weitere mögliche Ursache für dieses Problem liegt in der Benennungskonvention, die auf den Benutzernamenwert angewendet wurde. Benennungskonventionen müssen bestimmten Mustern wie „Nachname“ folgen. givenName'. Einige Benutzernamen können jedoch sehr lang sein oder Sonderzeichen enthalten, was dazu führen kann, dass beim API Aufruf Zeichen weggelassen werden, was zu einem Fehler führen kann. Möglicherweise möchten Sie auf dieselbe Weise versuchen, das Passwort mit einem Testbenutzer zurückzusetzen, um zu überprüfen, ob dies der Fall ist.

Wenn das Problem weiterhin besteht, wenden Sie sich an das AWS Support Center.

Mein Benutzer wird in einem Berechtigungssatz referenziert, kann aber nicht auf die zugewiesenen Konten oder Anwendungen zugreifen

Dieses Problem kann auftreten, wenn Sie System for Cross-domain Identity Management (SCIM) für die automatische Bereitstellung mit einem externen Identitätsanbieter verwenden. Insbesondere wenn ein Benutzer oder die Gruppe, der der Benutzer angehörte, gelöscht und dann mit demselben Benutzernamen (für Benutzer) oder Namen (für Gruppen) im Identity Provider neu erstellt wird, wird eine neue eindeutige interne Kennung für den neuen Benutzer oder die neue Gruppe in IAM Identity Center erstellt. IAMIdentity Center hat jedoch immer noch einen Verweis auf die alte ID in seiner Berechtigungsdatenbank, sodass der Name des Benutzers oder der Gruppe immer noch in der Benutzeroberfläche angezeigt wird, der Zugriff jedoch fehlschlägt. Das liegt daran, dass die zugrunde liegende Benutzer- oder Gruppen-ID, auf die sich die Benutzeroberfläche bezieht, nicht mehr existiert.

Um den AWS-Konto Zugriff in diesem Fall wiederherzustellen, können Sie den Zugriff für den alten Benutzer oder die alte Gruppe aus AWS-Konto denjenigen entfernen, denen er ursprünglich zugewiesen wurde, und dann den Zugriff wieder dem Benutzer oder der Gruppe zuweisen. Dadurch wird der Berechtigungssatz mit der richtigen ID für den neuen Benutzer oder die neue Gruppe aktualisiert. Um den Anwendungszugriff wiederherzustellen, können Sie auf ähnliche Weise den Zugriff für den Benutzer oder die Gruppe aus der Liste der zugewiesenen Benutzer für diese Anwendung entfernen und den Benutzer oder die Gruppe dann wieder hinzufügen.

Sie können auch überprüfen, ob der Fehler AWS CloudTrail aufgezeichnet wurde, indem Sie Ihre CloudTrail Protokolle nach SCIM Synchronisierungsereignissen durchsuchen, die auf den Namen des betreffenden Benutzers oder der betreffenden Gruppe verweisen.

Ich kann meine Anwendung nicht korrekt aus dem Anwendungskatalog konfigurieren

Wenn Sie eine Anwendung aus dem Anwendungskatalog in IAM Identity Center hinzugefügt haben, beachten Sie, dass jeder Dienstanbieter seine eigene ausführliche Dokumentation bereitstellt. Sie können auf diese Informationen über die Registerkarte Konfiguration für die Anwendung in der IAM Identity Center-Konsole zugreifen.

Wenn das Problem mit der Einrichtung der Vertrauensstellung zwischen der Anwendung des Dienstanbieters und IAM Identity Center zusammenhängt, lesen Sie unbedingt in der Bedienungsanleitung nach, welche Schritte zur Fehlerbehebung erforderlich sind.

Fehler „Ein unerwarteter Fehler ist aufgetreten“, wenn ein Benutzer versucht, sich mit einem externen Identitätsanbieter anzumelden

Dieser Fehler kann aus mehreren Gründen auftreten, aber ein häufiger Grund ist eine Nichtübereinstimmung zwischen den in der SAML Anfrage enthaltenen Benutzerinformationen und den Informationen für den Benutzer in Identity Center. IAM

Damit sich ein IAM Identity Center-Benutzer erfolgreich anmelden kann, wenn er einen externen IdP als Identitätsquelle verwendet, muss Folgendes zutreffen:

  • Das SAML NameID-Format (bei Ihrem Identitätsanbieter konfiguriert) muss „E-Mail“ lauten

  • Der NameID-Wert muss eine ordnungsgemäß (RFC2822) formatierte Zeichenfolge sein (user@domain.com)

  • Der NameID-Wert muss exakt mit dem Benutzernamen eines vorhandenen Benutzers in IAM Identity Center übereinstimmen (es spielt keine Rolle, ob die E-Mail-Adresse in IAM Identity Center übereinstimmt oder nicht — der eingehende Abgleich basiert auf dem Benutzernamen)

  • Die IAM Identity Center-Implementierung des SAML 2.0-Verbunds unterstützt nur eine Behauptung in der SAML Antwort zwischen dem Identitätsanbieter und IAM Identity Center. Verschlüsselte SAML Assertionen werden nicht unterstützt.

  • Die folgenden Aussagen gelten, wenn sie Attribute für Zugriffskontrolle in Ihrem IAM Identity Center-Konto aktiviert sind:

    • Die Anzahl der in der SAML Anfrage zugewiesenen Attribute muss 50 oder weniger betragen.

    • Die SAML Anfrage darf keine mehrwertigen Attribute enthalten.

    • Die SAML Anfrage darf nicht mehrere Attribute mit demselben Namen enthalten.

    • Das Attribut darf nicht strukturiert XML wie der Wert enthalten.

    • Das Namensformat muss ein SAML bestimmtes Format sein, kein generisches Format.

Anmerkung

IAMIdentity Center führt keine Just-in-Time-Erstellung von Benutzern oder Gruppen für neue Benutzer oder Gruppen über einen SAML Verbund durch. Das bedeutet, dass der Benutzer entweder manuell oder über automatische Bereitstellung vorab in IAM Identity Center erstellt werden muss, um sich bei IAM Identity Center anmelden zu können.

Dieser Fehler kann auch auftreten, wenn der in Ihrem Identitätsanbieter konfigurierte Assertion Consumer Service (ACS) -Endpunkt nicht mit dem von Ihrer IAM Identity Center-Instanz ACS URL bereitgestellten übereinstimmt. Stellen Sie sicher, dass diese beiden Werte exakt übereinstimmen.

Darüber hinaus können Sie Anmeldefehler bei externen Identitätsanbietern weiter beheben, indem Sie den Ereignisnamen ExternalIdPDirectoryLoginaufrufen AWS CloudTrail und danach filtern.

Fehler „Die Attribute für die Zugriffskontrolle konnten nicht aktiviert werden“

Dieser Fehler kann auftreten, wenn der Benutzer, der die Aktivierung aktiviert, ABAC nicht über die iam:UpdateAssumeRolePolicy für die Aktivierung erforderlichen Berechtigungen verfügt. Attribute für Zugriffskontrolle

Ich erhalte die Meldung „Browser wird nicht unterstützt“, wenn ich versuche, ein Gerät für zu registrieren MFA

WebAuthn wird derzeit in den Webbrowsern Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari sowie in Windows 10- und Android-Plattformen unterstützt. Einige Komponenten der WebAuthn Unterstützung können unterschiedlich sein, z. B. die Unterstützung von Plattformauthentifikatoren in macOS- und iOS-Browsern. Wenn Benutzer versuchen, WebAuthn Geräte in einem Browser oder einer Plattform zu registrieren, die nicht unterstützt werden, werden bestimmte Optionen ausgegraut angezeigt, die nicht unterstützt werden, oder sie erhalten eine Fehlermeldung, dass nicht alle unterstützten Methoden unterstützt werden. In diesen Fällen finden Sie weitere Informationen zur Browser-/Plattformunterstützung unter FIDO2: Webauthentifizierung (WebAuthn). Weitere Informationen zu WebAuthn in IAM Identity Center finden Sie unter. FIDO2Authentifikatoren

Die Active Directory-Gruppe „Domänenbenutzer“ wird nicht ordnungsgemäß mit IAM Identity Center synchronisiert

Die Gruppe der Active Directory-Domänenbenutzer ist die standardmäßige „primäre Gruppe“ für AD-Benutzerobjekte. Primäre Active Directory-Gruppen und ihre Mitgliedschaften können von IAM Identity Center nicht gelesen werden. Verwenden Sie bei der Zuweisung von Zugriff auf IAM Identity Center-Ressourcen oder -Anwendungen andere Gruppen als die Gruppe Domänenbenutzer (oder andere Gruppen, die als primäre Gruppen zugewiesen wurden), damit die Gruppenmitgliedschaft im IAM Identity Center-Identitätsspeicher korrekt wiedergegeben wird.

Fehler „Ungültige MFA Anmeldeinformationen“

Dieser Fehler kann auftreten, wenn ein Benutzer versucht, sich mit einem Konto eines externen IAM Identitätsanbieters bei Identity Center anzumelden (z. B. Okta or Microsoft Entra ID), bevor ihr Konto mithilfe des SCIM Protokolls vollständig für IAM Identity Center bereitgestellt wurde. Nachdem das Benutzerkonto für IAM Identity Center bereitgestellt wurde, sollte dieses Problem behoben sein. Vergewissern Sie sich, dass das Konto für IAM Identity Center bereitgestellt wurde. Wenn nicht, überprüfen Sie die Bereitstellungsprotokolle des externen Identitätsanbieters.

Ich erhalte die Meldung „Ein unerwarteter Fehler ist aufgetreten“, wenn ich versuche, mich mit einer Authenticator-App zu registrieren oder anzumelden

Zeitbasierte Einmalkennwortsysteme (TOTP), wie sie beispielsweise von IAM Identity Center in Kombination mit codebasierten Authentifikator-Apps verwendet werden, basieren auf der Zeitsynchronisierung zwischen dem Client und dem Server. Stellen Sie sicher, dass das Gerät, auf dem Ihre Authenticator-App installiert ist, korrekt mit einer zuverlässigen Zeitquelle synchronisiert ist, oder stellen Sie die Uhrzeit auf Ihrem Gerät manuell so ein, dass sie mit einer zuverlässigen Quelle wie NIST (https://www.time.gov/) oder anderen lokalen/regionalen Entsprechungen übereinstimmt.

Ich erhalte die Fehlermeldung „Nicht du, es sind wir“, wenn ich versuche, mich bei Identity Center anzumelden IAM

Dieser Fehler weist auf ein Einrichtungsproblem mit Ihrer IAM Identity Center-Instanz oder dem externen Identitätsanbieter (IdP) hin, den IAM Identity Center als Identitätsquelle verwendet. Wir empfehlen Ihnen, Folgendes zu überprüfen:

  • Überprüfen Sie die Datums- und Uhrzeiteinstellungen auf dem Gerät, mit dem Sie sich anmelden. Wir empfehlen Ihnen, Datum und Uhrzeit so einzustellen, dass sie automatisch eingestellt werden. Wenn das nicht verfügbar ist, empfehlen wir, Datum und Uhrzeit mit einem bekannten Network Time Protocol (NTP) -Server zu synchronisieren.

  • Stellen Sie sicher, dass das in IAM Identity Center hochgeladene IdP-Zertifikat dem entspricht, das von Ihrem IdP bereitgestellt wurde. Sie können das Zertifikat von der IAM Identity Center-Konsole aus überprüfen, indem Sie zu Einstellungen navigieren. Wählen Sie auf der Registerkarte Identitätsquelle Aktion und dann Authentifizierung verwalten aus. Wenn die IdP- und IAM Identity Center-Zertifikate nicht übereinstimmen, importieren Sie ein neues Zertifikat in IAM Identity Center.

  • Stellen Sie sicher, dass das NameID-Format in der Metadatendatei Ihres Identity Providers wie folgt lautet:

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • Wenn Sie AD Connector von AWS Directory Service als Identitätsanbieter verwenden, stellen Sie sicher, dass die Anmeldeinformationen für das Dienstkonto korrekt und nicht abgelaufen sind. Weitere Informationen finden Sie unter Aktualisieren der Anmeldeinformationen Ihres AD Connector Connector-Dienstkontos in AWS Directory Service.

Meine Benutzer erhalten keine E-Mails von IAM Identity Center

Alle vom IAM Identity Center-Dienst gesendeten E-Mails stammen entweder von der Adresse no-reply@signin.aws oderno-reply@login.awsapps.com. Ihr E-Mail-System muss so konfiguriert sein, dass es E-Mails von diesen Absender-E-Mail-Adressen akzeptiert und sie nicht als Junk oder Spam behandelt.

Fehler: Sie können nicht delete/modify/remove/assign auf die im Verwaltungskonto bereitgestellten Berechtigungssätze zugreifen

Diese Meldung weist darauf hin, dass die Delegierte Verwaltung Funktion aktiviert wurde und dass der Vorgang, den Sie zuvor versucht haben, nur von jemandem erfolgreich ausgeführt werden kann, der über Verwaltungskontoberechtigungen verfügt. AWS Organizations Um dieses Problem zu beheben, melden Sie sich als Benutzer an, der über diese Berechtigungen verfügt, und versuchen Sie erneut, die Aufgabe auszuführen, oder weisen Sie diese Aufgabe einer Person zu, die über die richtigen Berechtigungen verfügt. Weitere Informationen finden Sie unter Registrieren Sie ein Mitgliedskonto.

Fehler: Das Sitzungstoken wurde nicht gefunden oder ist ungültig

Dieser Fehler kann auftreten, wenn ein Client, z. B. ein Webbrowser AWS Toolkit, versucht AWS CLI, eine Sitzung zu verwenden, die serverseitig gesperrt oder ungültig gemacht wurde. Um dieses Problem zu beheben, kehren Sie zur Client-Anwendung oder Website zurück und versuchen Sie es erneut. Melden Sie sich auch erneut an, wenn Sie dazu aufgefordert werden. Dies kann manchmal erforderlich sein, dass Sie auch ausstehende Anfragen stornieren müssen, z. B. einen ausstehenden Verbindungsversuch von AWS Toolkit innen herausIDE.