Pour activer la synchronisation AD et les journaux d'erreurs configurables Pour désactiver la synchronisation AD et les journaux d'erreurs configurables Champs du journal des erreurs de synchronisation AD et de synchronisation AD configurables Exemples de journaux d'erreurs de synchronisation AD et de synchronisation AD configurable

Enregistrement des erreurs de synchronisation AD et de synchronisation AD configurables

Vous pouvez activer la connexion sur votre synchronisation Active Directory (AD) et configurer des configurations de synchronisation AD configurables pour recevoir des journaux contenant des informations sur les erreurs susceptibles de se produire au cours du processus de synchronisation. Grâce à ces journaux, vous pouvez vérifier s'il existe un problème avec votre synchronisation AD et la synchronisation AD configurable et prendre des mesures le cas échéant. Vous pouvez envoyer vos journaux vers un groupe de CloudWatch journaux Amazon Logs, un bucket Amazon Simple Storage Service (Amazon S3) ou un Amazon Data Firehose dont la livraison entre comptes est prise en charge pour les buckets Amazon S3 et Firehose.

Pour plus d'informations sur les limitations, les autorisations et les journaux vendus, voir Activation de la journalisation à partir de Services AWS.

Note

La connexion vous est facturée. Pour plus d'informations, consultez Vended Logs sur la page de CloudWatch tarification d'Amazon.

Pour activer la synchronisation AD et les journaux d'erreurs configurables

Connectez-vous à la console IAM Identity Center.
Sélectionnez Settings (Paramètres).
Sur la page Paramètres, choisissez l'onglet Source d'identité, sélectionnez Actions, puis sélectionnez Gérer les journaux.
Choisissez Ajouter la livraison du journal et l'un des types de destination suivants.
1. Choisissez To Amazon CloudWatch Logs. Choisissez ou entrez ensuite le groupe de journaux de destination.
2. Choisissez To Amazon S3. Choisissez ou entrez ensuite le compartiment de destination.
3. Choisissez To Firehose. Choisissez ou entrez ensuite le flux de diffusion de destination.
Sélectionnez Envoyer.

Pour désactiver la synchronisation AD et les journaux d'erreurs configurables

Connectez-vous à la console IAM Identity Center.
Sélectionnez Settings (Paramètres).
Sur la page Paramètres, choisissez l'onglet Source d'identité, sélectionnez Actions, puis sélectionnez Gérer les journaux.
Choisissez Supprimer pour la destination que vous souhaitez supprimer.
Sélectionnez Envoyer.

Champs du journal des erreurs de synchronisation AD et de synchronisation AD configurables

Consultez la liste suivante pour connaître les éventuels champs du journal des erreurs.

sync_profile_name: Nom du profil de synchronisation.
error_code: Le code d'erreur qui représente le type d'erreur qui s'est produit.
error_message: Message contenant des informations détaillées sur l'erreur survenue.
sync_source: La source de synchronisation est l'endroit à partir duquel les entités sont synchronisées. Pour IAM Identity Center, il s'agit d'un Active Directory (AD) géré par AWS Directory Service. La source de synchronisation contient le domaine et ARN le répertoire concernés.
sync_target: La cible de synchronisation est la destination où les entités sont enregistrées. Pour IAM Identity Center, il s'agit d'un magasin d'identités. La cible de synchronisation contient le magasin d'identités ARN concerné.
source_entity_id: Identifiant unique de l'entité à l'origine de l'erreur. Pour IAM Identity Center, il s'agit SID de l'entité.
source_entity_type: Type d'entité à l'origine de l'erreur. La valeur peut être USER ou GROUP.
eventTimestamp: Horodatage auquel l'erreur s'est produite.

Exemples de journaux d'erreurs de synchronisation AD et de synchronisation AD configurable

Exemple 1 : journal des erreurs pour un mot de passe expiré pour un annuaire AD


{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

Exemple 2 : journal des erreurs pour un utilisateur dont le nom d'utilisateur n'est pas unique


{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon EventBridge

Validation de conformité