Solución de problemas con IAM Identity Center - AWS IAM Identity Center
Problemas al crear una instancia de cuenta de IAM Identity CenterRecibe un error al intentar ver la lista de aplicaciones en la nube que están preconfiguradas para funcionar con IAM Identity CenterProblemas relacionados con el contenido de SAML las afirmaciones creadas por IAM Identity CenterAlgunos usuarios no se sincronizan con IAM Identity Center desde un proveedor externo SCIMError de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externoLos usuarios no pueden iniciar sesión cuando su nombre de usuario está formateado UPNAl modificar una función, aparece el error «No se puede realizar la operación en la función protegida» IAMLos usuarios del directorio no pueden restablecer su contraseñaEn un conjunto de permisos se hace referencia a mi usuario, pero no puede acceder a las cuentas o aplicaciones asignadasNo puedo configurar correctamente mi aplicación del catálogo de aplicacionesError: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externoError: “No se pudieron habilitar los atributos del control de acceso”Aparece el mensaje «El navegador no es compatible» cuando intento registrar un dispositivo en MFAEl grupo «Usuarios de dominio» de Active Directory no se sincroniza correctamente con IAM Identity CenterError de MFA credenciales no válidasEl mensaje “Se ha producido un error inesperado” aparece cuando intento registrarme o iniciar sesión con una aplicación de autenticaciónAparece el mensaje de error «No eres tú, somos nosotros» cuando intento iniciar sesión en Identity Center IAMMis usuarios no reciben correos electrónicos del Centro de IAM IdentidadError: no puede delete/modify/remove/assign acceder a los conjuntos de permisos aprovisionados en la cuenta de administraciónError: no se encontró el token de sesión o no es válido

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas con IAM Identity Center

Lo siguiente puede ayudarle a solucionar algunos problemas comunes que pueden surgir al configurar o utilizar la consola de IAM Identity Center.

Problemas al crear una instancia de cuenta de IAM Identity Center

Pueden aplicarse varias restricciones al crear una instancia de cuenta de IAM Identity Center. Si no puede crear una instancia de cuenta a través de la consola de IAM Identity Center o de la experiencia de configuración de una aplicación AWS gestionada compatible, compruebe los siguientes casos de uso:

  • Marque otras Regiones de AWS Cuenta de AWS en las que está intentando crear la instancia de cuenta. Está limitado a una instancia de IAM Identity Center por Cuenta de AWS. Para habilitar la aplicación, cambie a una cuenta Región de AWS con la instancia de IAM Identity Center o cambie a una cuenta sin una instancia de IAM Identity Center.

  • Si su organización habilitó IAM Identity Center antes del 14 de septiembre de 2023, es posible que su administrador deba optar por la creación de instancias de cuenta. Trabaje con su administrador para habilitar la creación de instancias de cuentas desde la consola de IAM Identity Center de la cuenta de administración.

  • Es posible que su administrador haya creado una política de control de servicios para limitar la creación de instancias de cuentas de IAM Identity Center. Trabaje con el administrador para agregar su cuenta a la lista de permitidos.

Recibe un error al intentar ver la lista de aplicaciones en la nube que están preconfiguradas para funcionar con IAM Identity Center

El siguiente error se produce cuando tiene una política que lo permitesso:ListApplications, pero no otro IAM Identity CenterAPIs. Actualice la política para resolver este error.

El ListApplications permiso autoriza variosAPIs:

  • El ListApplicationsAPI.

  • Una interna API similar a la ListApplicationProviders API utilizada en la consola de IAM Identity Center.

Para ayudar a resolver la duplicación, el interno API ahora también autoriza el uso de la ListApplicationProviders acción. Para permitir la acción pública ListApplications API pero denegar la internaAPI, tu póliza debe incluir una declaración que deniegue la ListApplicationProviders acción:


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

Para permitir lo interno API pero negarloListApplications, la política solo debe permitirListApplicationProviders. ListApplicationsAPISe deniega si no se permite explícitamente.


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

Cuando se actualicen sus políticas, póngase en contacto con nosotros AWS Support para que eliminen esta medida proactiva.

Problemas relacionados con el contenido de SAML las afirmaciones creadas por IAM Identity Center

IAMIdentity Center ofrece una experiencia de depuración basada en la web para SAML las afirmaciones creadas y enviadas por IAM Identity Center, incluidos los atributos de estas afirmaciones, al acceder Cuentas de AWS y las SAML aplicaciones desde el portal de acceso. AWS Para ver los detalles de una SAML afirmación que genera IAM Identity Center, siga estos pasos.

  1. Inicie sesión en el portal de AWS acceso.

  2. Mientras está conectado al portal, mantenga pulsada la tecla Mayúscula, elija el mosaico de aplicaciones y suelte la tecla Mayúscula.

  3. Revise la información de la página titulada You are now in administrator mode (Ahora está en modo administrador). Para conservar esta información para consultarla en el futuro, selecciona Copiar XML y pega el contenido en otro lugar.

  4. Seleccione Enviar a <application> para continuar. Esta opción envía la confirmación al proveedor del servicio.

nota

Es posible que algunas configuraciones de navegadores y sistemas operativos no admitan este procedimiento. Este procedimiento se ha probado en Windows 10 con los navegadores Firefox, Chrome y Edge.

Algunos usuarios no se sincronizan con IAM Identity Center desde un proveedor externo SCIM

Si su proveedor de identidad (IdP) está configurado para aprovisionar usuarios a IAM Identity Center mediante la SCIM sincronización, es posible que se produzcan errores de sincronización durante el proceso de aprovisionamiento de usuarios. Esto puede indicar que la configuración de usuario de su IDP no es compatible con los requisitos del Centro de IAM identidad. Cuando esto suceda, el Centro de IAM Identidad SCIM APIs devolverá mensajes de error que proporcionan información sobre la causa raíz del problema. Puede localizar estos mensajes de error en los registros o en la interfaz de usuario de su IdP. Como alternativa, puede encontrar información más detallada sobre los errores de aprovisionamiento en los registros de AWS CloudTrail.

Para obtener más información sobre SCIM las implementaciones de IAM Identity Center, incluidas las especificaciones de los parámetros y las operaciones necesarios, opcionales y no compatibles para los objetos de usuario, consulte la Guía para desarrolladores de la SCIMimplementación de IAM Identity Center en la SCIM Guía para desarrolladores

Los siguientes motivos son algunos de los más comunes de este error:

  1. El objeto de usuario del IdP carece de un nombre (de pila), un apellido o un nombre para mostrar.

    Mensaje de error: «Se detectaron 2 errores de validación: el valor at 'name.givenName' no pudo cumplir la restricción: el miembro debe cumplir con el patrón de expresión regular: [\\ p {L}\\ p {M}\\ p {N}\\ p {P}\\ t\\n\\ r] +; el valor en 'name.givenName' no pudo cumplir la restricción: el miembro debe tener una longitud mayor o igual a 1»

    1. Solución: agregue un nombre (de pila), un apellido y un nombre para el objeto de usuario. Además, asegúrese de que las asignaciones de SCIM aprovisionamiento para los objetos de usuario de su IdP estén configuradas para enviar valores no vacíos para todos estos atributos.

  2. Se está enviando al usuario más de un valor para un único atributo (también conocidos como “atributos de valores múltiples”). Por ejemplo, el usuario puede tener un número de teléfono fijo y laboral especificado en el IdP, o varios correos electrónicos o direcciones físicas, y su IdP está configurado para intentar sincronizar varios o todos los valores de ese atributo.

    Mensaje de error: «El atributo emails de la lista supera el límite permitido de 1»

    1. Opciones de solución:

      1. Actualice las asignaciones de SCIM aprovisionamiento para los objetos de usuario en su IdP para enviar solo un valor único para un atributo determinado. Por ejemplo, configure una asignación que envíe solo el número de teléfono laboral de cada usuario.

      2. Si los atributos adicionales se pueden eliminar de forma segura del objeto de usuario del IdP, puede eliminar los valores adicionales y dejar uno o cero valores establecidos para ese atributo del usuario.

      3. Si el atributo no es necesario para realizar ninguna acción en AWS, elimine la asignación de ese atributo de las asignaciones de SCIM aprovisionamiento de objetos de usuario en su IdP.

  3. Su IdP intenta hacer coincidir a los usuarios del objetivo (IAMIdentity Center, en este caso) en función de varios atributos. Como se garantiza que los nombres de usuario sean únicos en una instancia determinada de IAM Identity Center, solo tiene que username especificarlo como atributo utilizado para la coincidencia.

    1. Solución: asegúrese de que la SCIM configuración de su IdP utilice solo un atributo para coincidir con los usuarios de IAM Identity Center. Por ejemplo, asignar username o userPrincipalName en el IdP al userName atributo para el aprovisionamiento en SCIM IAM Identity Center será correcto y suficiente para la mayoría de las implementaciones.

Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo

Si experimenta problemas de sincronización del Centro de IAM Identidad al aprovisionar usuarios o grupos en un proveedor de identidad (IdP) externo, podría deberse a que los usuarios o grupos de su IdP externo no tengan valores de atributos únicos. Es posible que aparezca el siguiente mensaje de error en el IdP externo:

Se negó a crear un nuevo recurso duplicado

Este problema se puede producir en el siguiente escenario:

  • Escenario 1

    • Está utilizando atributos personalizados no únicos en su IdP externo para los atributos que deben ser únicos IAM en Identity Center. Los usuarios o grupos de IAM Identity Center existentes no se sincronizan con su IdP.

  • Escenario 2

    • Intenta crear usuarios con atributos duplicados para los atributos que deben ser únicos en IAM Identity Center.

      • Por ejemplo, crea o tiene un usuario de IAM Identity Center existente con los siguientes atributos:

        • Nombre de usuario: Jane Doe

        • Dirección de correo electrónico principal: jane_doe@example.com

      • A continuación, intente crear otro usuario en su IdP externo con los siguientes atributos:

        • Nombre de usuario: Richard Doe

        • Dirección de correo electrónico principal: jane_doe@example.com

          • El IdP externo intenta sincronizar y crear el usuario en IAM Identity Center. Sin embargo, estas acciones fallan porque ambos usuarios tienen valores duplicados para una dirección de correo electrónico principal que debe ser única.

El nombre de usuario, la dirección de correo electrónico principal y el identificador externo deben ser únicos para que los usuarios del IdP externo se sincronicen correctamente con Identity Center. IAM Del mismo modo, el nombre del grupo debe ser único para que los grupos de IdP externos se sincronicen correctamente con Identity Center. IAM

La solución consiste en revisar los atributos de la fuente de identidad y asegurarse de que son únicos.

Los usuarios no pueden iniciar sesión cuando su nombre de usuario está formateado UPN

Es posible que los usuarios no puedan iniciar sesión en el portal de AWS acceso en función del formato que utilizan para introducir su nombre de usuario en la página de inicio de sesión. En su mayor parte, los usuarios pueden iniciar sesión en el portal de usuarios con su nombre de usuario simple, su nombre de inicio de sesión de nivel inferior (DOMAIN\UserName) o su nombre de inicio de UPN sesión (). UserName@Corp.Example.com La excepción es cuando IAM Identity Center utiliza un directorio conectado que se ha habilitado con MFA y el modo de verificación se ha configurado como sensible al contexto o siempre activo. En este escenario, los usuarios deben iniciar sesión con su nombre de inicio de sesión de nivel inferior (\). DOMAIN UserName Para obtener más información, consulte Autenticación multifactor para usuarios de Identity Center. Para obtener información general sobre los formatos de nombre de usuario que se utilizan para iniciar sesión en Active Directory, consulte Formatos de nombre de usuario en el sitio web de documentación de Microsoft.

Al modificar una función, aparece el error «No se puede realizar la operación en la función protegida» IAM

Al revisar IAM las funciones de una cuenta, es posible que veas que los nombres de las funciones comienzan por «_». AWSReservedSSO Estos son los roles que el servicio de IAM Identity Center ha creado en la cuenta y provienen de la asignación de un conjunto de permisos a la cuenta. Si se intenta modificar estas funciones desde la IAM consola, se producirá el siguiente error:

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

Estas funciones solo se pueden modificar desde la consola de administración de IAM Identity Center, que se encuentra en la cuenta de administración de AWS Organizations. Una vez modificado, puede transferir los cambios a las cuentas de AWS a las que esté asignado.

Los usuarios del directorio no pueden restablecer su contraseña

Cuando un usuario del directorio restablece su contraseña mediante la opción ¿Ha olvidado su contraseña? al iniciar sesión en el portal de AWS acceso, su nueva contraseña debe cumplir con la política de contraseñas predeterminada, tal como se describe en. Requisitos de contraseñas para administrar identidades en Centro de identidades de IAM

Si un usuario introduce una contraseña que cumple con la política y, a continuación, recibe el errorWe couldn't update your password, compruebe si AWS CloudTrail se ha registrado el error. Para ello, busque en la consola del historial de eventos o CloudTrail utilice el siguiente filtro:

"UpdatePassword"

Si el mensaje indica lo siguiente, es posible que deba ponerse en contacto con el servicio de asistencia:

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

Otra posible causa de este problema está en la convención de nomenclatura que se aplicó al valor del nombre de usuario. Las convenciones de nomenclatura deben seguir patrones específicos, como el «apellido». givenName'. Sin embargo, algunos nombres de usuario pueden ser bastante largos o contener caracteres especiales, lo que puede provocar que se pierdan caracteres en la API llamada y, por lo tanto, se produzca un error. Puede intentar restablecer la contraseña con un usuario de prueba de la misma manera para comprobar si es así.

Si el problema persiste, póngase en contacto con el centro de soporte de AWS.

En un conjunto de permisos se hace referencia a mi usuario, pero no puede acceder a las cuentas o aplicaciones asignadas

Este problema puede producirse si utiliza el Sistema de gestión de identidades entre dominios (SCIM) para el aprovisionamiento automático con un proveedor de identidad externo. En concreto, cuando un usuario, o el grupo al que pertenecía, se elimina y se vuelve a crear con el mismo nombre de usuario (para los usuarios) o nombre (para los grupos) en el proveedor de identidad, se crea un nuevo identificador interno único para el nuevo usuario o grupo en IAM Identity Center. Sin embargo, IAM Identity Center todavía tiene una referencia al identificador anterior en su base de datos de permisos, de modo que el nombre del usuario o grupo sigue apareciendo en la interfaz de usuario, pero se produce un error en el acceso. Esto se debe a que el ID de usuario o grupo subyacente al que hace referencia la interfaz de usuario ya no existe.

Para restablecer el Cuenta de AWS acceso en este caso, puede eliminar el acceso del usuario o grupo anterior de los Cuenta de AWS lugares en los que estaba asignado originalmente y, a continuación, volver a asignarlo al usuario o grupo. Esto actualiza el conjunto de permisos con el identificador correcto para el nuevo usuario o grupo. Del mismo modo, para restablecer el acceso a la aplicación, puede eliminar el acceso del usuario o grupo de la lista de usuarios asignados a esa aplicación y, a continuación, volver a agregar el usuario o grupo.

También puede comprobar si AWS CloudTrail se ha registrado el error buscando en CloudTrail los registros eventos de SCIM sincronización que hagan referencia al nombre del usuario o grupo en cuestión.

No puedo configurar correctamente mi aplicación del catálogo de aplicaciones

Si agregó una aplicación del catálogo de aplicaciones de IAM Identity Center, tenga en cuenta que cada proveedor de servicios proporciona su propia documentación detallada. Puede acceder a esta información desde la pestaña Configuración de la aplicación en la consola de IAM Identity Center.

Si el problema está relacionado con la configuración de la confianza entre la aplicación del proveedor de servicios e IAM Identity Center, asegúrese de consultar el manual de instrucciones para ver los pasos de solución de problemas.

Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo

Este error puede producirse por varios motivos, pero uno de los más comunes es la falta de coincidencia entre la información del usuario incluida en la SAML solicitud y la información del usuario en IAM Identity Center.

Para que un usuario de IAM Identity Center inicie sesión correctamente cuando utilice un IdP externo como fuente de identidad, debe cumplirse lo siguiente:

  • El formato del SAML ID de nombre (configurado en su proveedor de identidad) debe ser «correo electrónico»

  • El valor de NameID debe ser una cadena con el formato correcto (RFC2822) (user@domain.com)

  • El valor de NameID debe coincidir exactamente con el nombre de usuario de un usuario existente en IAM Identity Center (no importa si la dirección de correo electrónico de IAM Identity Center coincide o no; la coincidencia entrante se basa en el nombre de usuario)

  • La implementación de la federación SAML 2.0 en IAM Identity Center solo admite una afirmación en la SAML respuesta entre el proveedor de identidades e IAM Identity Center. No admite SAML afirmaciones cifradas.

  • Las siguientes afirmaciones se aplican si Atributos para controlar el acceso está habilitada en su cuenta de IAM Identity Center:

    • El número de atributos mapeados en la SAML solicitud debe ser 50 o menos.

    • La SAML solicitud no debe contener atributos con varios valores.

    • La SAML solicitud no debe contener varios atributos con el mismo nombre.

    • El atributo no debe contener un valor estructurado XML como el.

    • El formato del nombre debe ser un formato SAML específico, no un formato genérico.

nota

IAMIdentity Center no crea usuarios o grupos «justo a tiempo» para nuevos usuarios o grupos mediante la SAML federación. Esto significa que el usuario debe crearse previamente en IAM Identity Center, ya sea de forma manual o mediante un aprovisionamiento automático, para poder iniciar sesión en IAM Identity Center.

Este error también puede producirse cuando el punto final del Assertion Consumer Service (ACS) configurado en su proveedor de identidad no coincide con el ACS URL proporcionado por su instancia de IAM Identity Center. Asegúrese de que estos 2 valores coincidan exactamente.

Además, puede solucionar aún más los errores de inicio de sesión de un proveedor de identidad externo consultando el nombre del evento AWS CloudTrail y filtrándolo por separado. ExternalIdPDirectoryLogin

Error: “No se pudieron habilitar los atributos del control de acceso”

Este error puede producirse si el usuario que lo habilita ABAC no tiene los iam:UpdateAssumeRolePolicy permisos necesarios para activarlo. Atributos para controlar el acceso

Aparece el mensaje «El navegador no es compatible» cuando intento registrar un dispositivo en MFA

WebAuthn actualmente es compatible con los navegadores web Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari, así como con las plataformas Windows 10 y Android. Algunos componentes de la WebAuthn compatibilidad pueden variar, como la compatibilidad con el autenticador de plataforma en los navegadores macOS e iOS. Si los usuarios intentan registrar WebAuthn dispositivos en un navegador o una plataforma no compatibles, verán determinadas opciones que no son compatibles o recibirán un mensaje de error que indica que no se admiten todos los métodos compatibles. En estos casos, consulte FIDO2: Autenticación web (WebAuthn) para obtener más información sobre la compatibilidad entre navegadores y plataformas. Para obtener más información sobre WebAuthn IAM Identity Center, consulte. Autenticadores FIDO2

El grupo «Usuarios de dominio» de Active Directory no se sincroniza correctamente con IAM Identity Center

El grupo de usuarios de dominio de Active Directory es el “grupo principal” predeterminado para los objetos de usuario de AD. IAMIdentity Center no puede leer los grupos principales de Active Directory y sus pertenencias. Al asignar el acceso a los recursos o las aplicaciones de IAM Identity Center, utilice grupos distintos del grupo de usuarios del dominio (u otros grupos asignados como grupos principales) para que la pertenencia a los grupos se refleje correctamente en el almacén de identidades de IAM Identity Center.

Error de MFA credenciales no válidas

Este error puede producirse cuando un usuario intenta iniciar sesión en IAM Identity Center con una cuenta de un proveedor de identidad externo (por ejemplo, Okta o Microsoft Entra ID) antes de que su cuenta se aprovisione por completo a IAM Identity Center mediante el SCIM protocolo. Una vez que la cuenta de usuario se aprovisione a IAM Identity Center, este problema debería resolverse. Confirme que la cuenta se haya aprovisionado a IAM Identity Center. Si no es así, compruebe los registros de aprovisionamiento en el proveedor de identidades externo.

El mensaje “Se ha producido un error inesperado” aparece cuando intento registrarme o iniciar sesión con una aplicación de autenticación

Los sistemas de contraseñas de un solo uso (TOTP) basados en el tiempo, como los que utiliza IAM Identity Center en combinación con las aplicaciones de autenticación basadas en código, se basan en la sincronización horaria entre el cliente y el servidor. Asegúrese de que el dispositivo en el que está instalada la aplicación de autenticación esté sincronizado correctamente con una fuente horaria fiable o configure manualmente la hora del dispositivo para que coincida con una fuente fiable, como NIST (https://www.time.gov/) u otros equivalentes locales o regionales.

Aparece el mensaje de error «No eres tú, somos nosotros» cuando intento iniciar sesión en Identity Center IAM

Este error indica que hay un problema de configuración con su instancia de IAM Identity Center o con el proveedor de identidad externo (IdP) que IAM Identity Center utiliza como fuente de identidad. Le recomendamos que realice las siguientes acciones:

  • Compruebe la configuración de fecha y hora del dispositivo que utiliza para iniciar sesión. Recomendamos que establezca que la fecha y la hora se ajusten automáticamente. Si no está disponible, le recomendamos que sincronice la fecha y la hora con un servidor de protocolo de hora de red (NTP) conocido.

  • Compruebe que el certificado de IdP cargado en IAM Identity Center es el mismo que el que proporcionó su IdP. Para comprobar el certificado desde la consola de IAM Identity Center, vaya a Configuración. En la pestaña Fuente de identidad, elija Acción y, a continuación, Administrar autenticación. Si los certificados de IdP e IAM Identity Center no coinciden, importe un certificado nuevo a IAM Identity Center.

  • Asegúrese de que el formato NameID del archivo de metadatos de su proveedor de identidad sea el siguiente:

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • Si utiliza AD Connector de AWS Directory Service como proveedor de identidad, compruebe que las credenciales de la cuenta de servicio son correctas y no han caducado. Consulte Actualización de las credenciales de su cuenta de servicio de Conector de AD en AWS Directory Service para obtener más información.

Mis usuarios no reciben correos electrónicos del Centro de IAM Identidad

Todos los correos electrónicos enviados por el servicio de IAM Identity Center procederán de la dirección no-reply@signin.aws ono-reply@login.awsapps.com. Su sistema de correo electrónico se debe configurar de manera que acepte los mensajes con estas direcciones de correo electrónico como remitente y no los trate como correo basura o spam.

Error: no puede delete/modify/remove/assign acceder a los conjuntos de permisos aprovisionados en la cuenta de administración

Este mensaje indica que la característica Administración delegada está habilitada y que la operación que intentó anteriormente solo la puede realizar correctamente una persona con permisos de cuenta de administración en AWS Organizations. Para resolver este problema, inicie sesión como usuario con estos permisos e intente volver a realizar la tarea o asigne esta tarea a alguien que cuente con los permisos correctos. Para obtener más información, consulte Registro de una cuenta miembro.

Error: no se encontró el token de sesión o no es válido

Este error puede producirse cuando un cliente, como un navegador web AWS Toolkit AWS CLI, o intenta utilizar una sesión revocada o invalidada en el servidor. Para corregir este problema, vuelva a la aplicación de cliente o al sitio web e inténtelo de nuevo, incluso vuelva a iniciar sesión si se le solicita. A veces, esto puede requerir que también canceles las solicitudes pendientes, como un intento de conexión pendiente desde AWS Toolkit dentro de tu cuenta. IDE