Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes liés à IAM Identity Center
Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la configuration ou de l'utilisation de la console IAM Identity Center.
Problèmes lors de la création d'une instance de compte d'IAMIdentity Center
Plusieurs restrictions peuvent s'appliquer lors de la création d'une instance de compte d'IAMIdentity Center. Si vous ne parvenez pas à créer une instance de compte via la console IAM Identity Center ou via l'expérience de configuration d'une application AWS gérée prise en charge, vérifiez les cas d'utilisation suivants :
-
Régions AWS Cochez la case autre Compte AWS dans laquelle vous essayez de créer l'instance de compte. Vous êtes limité à une instance d'IAMIdentity Center par Compte AWS. Pour activer l'application, passez à l'instance Région AWS avec IAM Identity Center ou passez à un compte sans instance d'IAMIdentity Center.
-
Si votre organisation a activé IAM Identity Center avant le 14 septembre 2023, votre administrateur devra peut-être accepter la création d'une instance de compte. Collaborez avec votre administrateur pour activer la création d'instances de compte à partir de la console IAM Identity Center dans le compte de gestion.
-
Votre administrateur a peut-être créé une politique de contrôle des services pour limiter la création d'instances de compte d'IAMIdentity Center. Travaillez avec votre administrateur pour ajouter votre compte à la liste des autorisations.
Vous recevez un message d'erreur lorsque vous tentez d'afficher la liste des applications cloud préconfigurées pour fonctionner avec IAM Identity Center
L'erreur suivante se produit lorsque vous avez une politique qui autorise sso:ListApplications
mais pas un autre IAM Identity CenterAPIs. Mettez à jour votre politique pour corriger cette erreur.
L'ListApplications
autorisation autorise plusieurs APIs :
-
Le
ListApplications
API. -
Une interface interne API similaire à celle
ListApplicationProviders
API utilisée dans la console IAM Identity Center.
Pour aider à résoudre les doublons, l'interne autorise API désormais également l'utilisation de l'ListApplicationProviders
action. Pour autoriser le public ListApplications
API mais refuser l'action interneAPI, votre politique doit inclure une déclaration refusant l'ListApplicationProviders
action :
"Statement": [ { "Effect": "Deny", "Action": "sso:ListApplicationProviders", "Resource": "*" }, { "Effect": "Allow", "Action": "sso:ListApplications", "Resource": "
<instanceArn>
" // (or "*" for all instances) } ]
Pour autoriser l'interne API mais le refuserListApplications
, la politique doit uniquement autoriserListApplicationProviders
. Le ListApplications
API est refusé s'il n'est pas explicitement autorisé.
"Statement": [ { "Effect": "Allow", "Action": "sso:ListApplicationProviders", "Resource": "*" } ]
Lorsque vos politiques sont mises à jour, contactez-nous AWS Support pour que cette mesure proactive soit supprimée.
Problèmes relatifs au contenu des SAML assertions créées par IAM Identity Center
IAMIdentity Center fournit une expérience de débogage basée sur le Web pour les SAML assertions créées et envoyées par IAM Identity Center, y compris les attributs contenus dans ces assertions, lors de l'accès Comptes AWS et les SAML applications depuis le AWS portail d'accès. Pour voir les détails d'une SAML assertion générée par IAM Identity Center, procédez comme suit.
-
Connectez-vous au portail d' AWS accès.
-
Lorsque vous êtes connecté au portail, maintenez la touche Shift enfoncée, choisissez la vignette de l'application, puis relâchez la touche Shift.
-
Examinez les informations indiquées sur la page intitulée You are now in administrator mode (Vous êtes maintenant en mode administrateur). Pour conserver ces informations pour référence future, choisissez Copier XML et collez le contenu ailleurs.
-
Choisissez Envoyer pour <application>continuer. Cette option envoie l'assertion au fournisseur de services.
Note
Certaines configurations de navigateur et certains systèmes d'exploitation peuvent ne pas prendre en charge cette procédure. Cette procédure a été testée sur Windows 10 à l'aide des navigateurs Firefox, Chrome et Edge.
Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un SCIM fournisseur externe
Si votre fournisseur d'identité (IdP) est configuré pour fournir des utilisateurs à IAM Identity Center à l'aide de la SCIM synchronisation, il est possible que vous rencontriez des échecs de synchronisation au cours du processus de configuration des utilisateurs. Cela peut indiquer que la configuration utilisateur de votre IdP n'est pas compatible avec les exigences de l'IAMIdentity Center. Dans ce cas, le IAM Identity Center SCIM APIs renvoie des messages d'erreur fournissant des informations sur la cause première du problème. Vous pouvez trouver ces messages d'erreur dans les journaux ou dans l'interface utilisateur de votre IdP. Vous pouvez également trouver des informations plus détaillées sur les échecs de provisionnement dans les AWS CloudTrail journaux.
Pour plus d'informations sur les SCIM implémentations IAM d'Identity Center, y compris les spécifications des paramètres et opérations obligatoires, facultatifs et non pris en charge pour les objets utilisateur, consultez le guide du développeur de SCIMmise en œuvre IAM d'Identity Center dans le SCIM guide du développeur
Voici quelques raisons courantes à l'origine de cette erreur :
-
L'objet utilisateur de l'IdP n'a pas de prénom, de nom de famille et/ou de nom d'affichage.
Message d'erreur :
« 2 erreurs de validation détectées : valeur à
'name.givenName'
Impossible de satisfaire la contrainte : le membre doit satisfaire le modèle d'expression régulière : [\ \ p {L} \ \ p {M} \ \ p {S} \ \ p {N} \ \ p {P} \ \ t \ \ n \ \ r] + ; Valeur à'name.givenName'
n'a pas satisfait à la contrainte : le membre doit avoir une longueur supérieure ou égale à 1 pouce-
Solution : ajoutez un premier (donné), un dernier (famille) et un nom d'affichage pour l'objet utilisateur. En outre, assurez-vous que les mappages de SCIM provisionnement pour les objets utilisateur de votre IdP sont configurés pour envoyer des valeurs non vides pour tous ces attributs.
-
-
Plusieurs valeurs pour un seul attribut sont envoyées à l'utilisateur (également appelées « attributs à valeurs multiples »). Par exemple, l'utilisateur peut avoir un numéro de téléphone professionnel et un numéro de téléphone personnel spécifiés dans l'IdP, ou plusieurs adresses électroniques ou physiques, et votre IdP est configuré pour essayer de synchroniser plusieurs ou toutes les valeurs pour cet attribut.
Message d'erreur :
« Attribut de liste »
emails
dépasse la limite autorisée de 1 po-
Options de solution :
-
Mettez à jour vos mappages de SCIM provisionnement pour les objets utilisateur de votre IdP afin de n'envoyer qu'une seule valeur pour un attribut donné. Par exemple, configurez un mappage qui envoie uniquement le numéro de téléphone professionnel de chaque utilisateur.
-
Si les attributs supplémentaires peuvent être supprimés en toute sécurité de l'objet utilisateur au niveau de l'IdP, vous pouvez supprimer les valeurs supplémentaires, en laissant une ou zéro valeur définie pour cet attribut pour l'utilisateur.
-
Si l'attribut n'est pas nécessaire pour effectuer des actions dans AWS, supprimez le mappage correspondant à cet attribut des mappages de SCIM provisionnement pour les objets utilisateur de votre IdP.
-
-
-
Votre IdP essaie de faire correspondre les utilisateurs de la cible (IAMIdentity Center, dans ce cas) en fonction de plusieurs attributs. Étant donné que l'unicité des noms d'utilisateur est garantie au sein d'une instance IAM Identity Center donnée, il vous suffit de les spécifier
username
comme attribut utilisé pour la mise en correspondance.-
Solution : assurez-vous que votre SCIM configuration dans votre IdP n'utilise qu'un seul attribut pour correspondre aux utilisateurs d'IAMIdentity Center. Par exemple, le mappage
username
de l'IdP vers l'userName
attribut in SCIM pour le provisionnement vers IAM Identity Center sera correct et suffisant pour la plupart des implémentations.userPrincipalName
-
Les utilisateurs ne peuvent pas se connecter lorsque leur nom d'utilisateur est au UPN format
Les utilisateurs peuvent ne pas être en mesure de se connecter au portail AWS d'accès en fonction du format qu'ils utilisent pour saisir leur nom d'utilisateur sur la page de connexion. Dans la plupart des cas, les utilisateurs peuvent se connecter au portail utilisateur en utilisant leur nom d'utilisateur simple, leur nom de connexion de bas niveau (DOMAIN\UserName) ou leur nom de UPN connexion (). UserName@Corp.Example.com
L'exception à cette règle se produit lorsqu'IAMIdentity Center utilise un répertoire connecté qui a été activé avec MFA et que le mode de vérification a été défini sur Context-aware ou Always-on. Dans ce scénario, les utilisateurs doivent se connecter avec leur nom de connexion de bas niveau (DOMAIN\). UserName Pour de plus amples informations, veuillez consulter Authentification multifactorielle pour les utilisateurs d'Identity Center. Pour obtenir des informations générales sur les formats de nom d'utilisateur utilisés pour se connecter à Active Directory, consultez la section Formats de nom d'utilisateur
Je reçois le message d'erreur « Impossible d'effectuer l'opération sur le rôle protégé » lors de la modification d'un rôle IAM
Lorsque vous passez en revue IAM les rôles d'un compte, vous remarquerez peut-être que les noms des rôles commencent par « AWSReservedSSO _ ». Il s'agit des rôles que le service IAM Identity Center a créés dans le compte, et ils proviennent de l'attribution d'un ensemble d'autorisations au compte. Toute tentative de modification de ces rôles depuis la IAM console entraînera l'erreur suivante :
'Cannot perform the operation on the protected role 'AWSReservedSSO_
RoleName_Here
' - this role is only modifiable by AWS'
Ces rôles ne peuvent être modifiés qu'à partir de la console d'administration IAM d'Identity Center, qui se trouve dans le compte de gestion de AWS Organizations. Une fois les modifications apportées, vous pouvez les transférer aux AWS comptes auxquels elles sont attribuées.
Les utilisateurs de l'annuaire ne peuvent pas réinitialiser leur mot de passe
Lorsqu'un utilisateur de l'annuaire réinitialise son mot de passe à l'aide du champ Mot de passe oublié ? option lors de la connexion au portail d' AWS accès, leur nouveau mot de passe doit respecter la politique de mot de passe par défaut décrite dansExigences relatives aux mots de passe lors de la gestion des identités dans IAM Identity Center.
Si un utilisateur saisit un mot de passe conforme à la politique puis reçoit le message d'erreurWe couldn't update your password
, vérifiez s'il AWS CloudTrail a enregistré l'échec. Cela peut être fait en effectuant une recherche dans la console de l'historique des événements CloudTrail ou en utilisant le filtre suivant :
"UpdatePassword"
Si le message indique ce qui suit, vous devrez peut-être contacter le support :
"errorCode": "InternalFailure", "errorMessage": "An unknown error occurred“
Une autre cause possible de ce problème réside dans la convention de dénomination qui a été appliquée à la valeur du nom d'utilisateur. Les conventions de dénomination doivent suivre des modèles spécifiques tels que le « nom de famille ». givenName'. Cependant, certains noms d'utilisateur peuvent être assez longs ou contenir des caractères spéciaux, ce qui peut entraîner la suppression de caractères dans l'APIappel, entraînant ainsi une erreur. Vous pouvez essayer de réinitialiser le mot de passe avec un utilisateur de test de la même manière pour vérifier si tel est le cas.
Si le problème persiste, contactez le AWS Support Center
Mon utilisateur est référencé dans un ensemble d'autorisations mais ne peut pas accéder aux comptes ou applications assignés
Ce problème peut se produire si vous utilisez le système de gestion des identités interdomaines (SCIM) pour le provisionnement automatique avec un fournisseur d'identité externe. Plus précisément, lorsqu'un utilisateur, ou le groupe dont il était membre, est supprimé puis recréé en utilisant le même nom d'utilisateur (pour les utilisateurs) ou le même nom (pour les groupes) dans le fournisseur d'identité, un nouvel identifiant interne unique est créé pour le nouvel utilisateur ou groupe dans IAM Identity Center. Cependant, IAM Identity Center possède toujours une référence à l'ancien identifiant dans sa base de données d'autorisations, de sorte que le nom de l'utilisateur ou du groupe apparaît toujours dans l'interface utilisateur, mais l'accès échoue. Cela est dû au fait que l'ID d'utilisateur ou de groupe sous-jacent auquel l'interface utilisateur fait référence n'existe plus.
Dans ce cas, pour rétablir l' Compte AWS accès, vous pouvez supprimer l'accès de l'ancien utilisateur ou du Compte AWS groupe auquel il a été attribué à l'origine, puis réattribuer l'accès à l'utilisateur ou au groupe. Cela met à jour l'ensemble d'autorisations avec l'identifiant correct pour le nouvel utilisateur ou le nouveau groupe. De même, pour rétablir l'accès à une application, vous pouvez supprimer l'accès de l'utilisateur ou du groupe de la liste des utilisateurs assignés à cette application, puis ajouter à nouveau l'utilisateur ou le groupe.
Vous pouvez également vérifier si l'échec AWS CloudTrail a été enregistré en recherchant dans vos CloudTrail journaux les événements de SCIM synchronisation faisant référence au nom de l'utilisateur ou du groupe en question.
Je n'arrive pas à configurer correctement mon application à partir du catalogue d'applications
Si vous avez ajouté une application depuis le catalogue d'applications IAM d'Identity Center, sachez que chaque fournisseur de services fournit sa propre documentation détaillée. Vous pouvez accéder à ces informations depuis l'onglet Configuration de l'application dans la console IAM Identity Center.
Si le problème est lié à la configuration de la confiance entre l'application du fournisseur de services et IAM Identity Center, assurez-vous de consulter le manuel d'instructions pour connaître les étapes de dépannage.
Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe
Cette erreur peut se produire pour plusieurs raisons, mais l'une des raisons les plus courantes est une incohérence entre les informations utilisateur contenues dans la SAML demande et les informations relatives à l'utilisateur dans IAM Identity Center.
Pour qu'un utilisateur d'IAMIdentity Center puisse se connecter correctement lorsqu'il utilise un IdP externe comme source d'identité, les conditions suivantes doivent être remplies :
-
Le format SAML NameID (configuré chez votre fournisseur d'identité) doit être « e-mail »
-
La valeur NameID doit être une chaîne correctement formatée (RFC2822) (user@domain.com)
-
La valeur NameID doit correspondre exactement au nom d'utilisateur d'un utilisateur existant dans IAM Identity Center (peu importe que l'adresse e-mail dans IAM Identity Center corresponde ou non, la correspondance entrante est basée sur le nom d'utilisateur)
-
L'implémentation de la fédération SAML 2.0 par IAM Identity Center ne prend en charge qu'une seule assertion dans la SAML réponse entre le fournisseur d'IAMidentité et Identity Center. Il ne prend pas en charge les SAML assertions chiffrées.
-
Les déclarations suivantes s'appliquent si cette option Attributs pour le contrôle d’accès est activée dans votre compte IAM Identity Center :
-
Le nombre d'attributs mappés dans la SAML demande doit être inférieur ou égal à 50.
-
La SAML demande ne doit pas contenir d'attributs à valeurs multiples.
-
La SAML demande ne doit pas contenir plusieurs attributs portant le même nom.
-
L'attribut ne doit pas contenir XML de valeur structurée.
-
Le format du nom doit être un format SAML spécifié et non un format générique.
-
Note
IAMIdentity Center n'effectue pas de création « juste à temps » d'utilisateurs ou de groupes pour de nouveaux utilisateurs ou groupes via SAML la fédération. Cela signifie que l'utilisateur doit être précréé dans IAM Identity Center, soit manuellement, soit via un provisionnement automatique, afin de se connecter à IAM Identity Center.
Cette erreur peut également se produire lorsque le point de terminaison Assertion Consumer Service (ACS) configuré dans votre fournisseur d'identité ne correspond pas à celui ACS URL fourni par votre instance IAM Identity Center. Assurez-vous que ces deux valeurs correspondent exactement.
En outre, vous pouvez résoudre davantage les problèmes de connexion au fournisseur d'identité externe en accédant au nom de l'événement AWS CloudTrail et en filtrant en fonction de celui-ci. ExternalIdPDirectoryLogin
Erreur « Impossible d'activer les attributs du contrôle d'accès »
Cette erreur peut se produire si l'utilisateur qui effectue l'activation ABAC ne dispose pas des iam:UpdateAssumeRolePolicy
autorisations requises pour effectuer l'activationAttributs pour le contrôle d’accès.
Je reçois un message « Navigateur non compatible » lorsque je tente d'enregistrer un appareil pour MFA
WebAuthn est actuellement compatible avec les navigateurs Web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari, ainsi que sur les plateformes Windows 10 et Android. Certains composants du WebAuthn support peuvent varier, tels que la prise en charge de l'authentificateur de plateforme sur les navigateurs macOS et iOS. Si les utilisateurs tentent d'enregistrer des WebAuthn appareils sur un navigateur ou une plateforme non pris en charge, certaines options non prises en charge seront grisées, ou ils recevront un message d'erreur indiquant que toutes les méthodes prises en charge ne sont pas prises en charge. Dans ces cas, reportez-vous à FIDO2: Web Authentication (WebAuthn)
Le groupe « Utilisateurs du domaine » Active Directory ne se synchronise pas correctement avec IAM Identity Center
Le groupe d'utilisateurs du domaine Active Directory est le « groupe principal » par défaut pour les objets utilisateur AD. IAMIdentity Center ne peut pas lire les groupes principaux Active Directory et leurs adhésions. Lorsque vous attribuez l'accès aux ressources ou aux applications d'IAMIdentity Center, utilisez des groupes autres que le groupe des utilisateurs du domaine (ou d'autres groupes assignés en tant que groupes principaux) pour que l'appartenance au groupe soit correctement reflétée dans le magasin IAM d'identités d'Identity Center.
Erreur MFA d'identification non valide
Cette erreur peut se produire lorsqu'un utilisateur tente de se connecter à IAM Identity Center à l'aide d'un compte fourni par un fournisseur d'identité externe (par exemple, Okta or Microsoft Entra ID) avant que leur compte ne soit entièrement approvisionné auprès d'IAMIdentity Center à l'aide du SCIM protocole. Une fois le compte utilisateur configuré auprès d'IAMIdentity Center, ce problème doit être résolu. Vérifiez que le compte a été fourni à IAM Identity Center. Dans le cas contraire, consultez les journaux de provisionnement dans le fournisseur d'identité externe.
Je reçois un message « Une erreur inattendue s'est produite » lorsque je tente de m'inscrire ou de me connecter à l'aide d'une application d'authentification
Les systèmes de mot de passe à usage unique (TOTP) basés sur le temps, tels que ceux utilisés par IAM Identity Center en combinaison avec des applications d'authentification basées sur du code, reposent sur la synchronisation temporelle entre le client et le serveur. Assurez-vous que l'appareil sur lequel votre application d'authentification est installée est correctement synchronisé avec une source horaire fiable, ou réglez manuellement l'heure sur votre appareil pour qu'elle corresponde à une source fiable, telle que NIST (https://www.time.gov/
Je reçois un message d'erreur « Ce n'est pas toi, c'est nous » lorsque j'essaie de me connecter à IAM Identity Center
Cette erreur indique qu'il existe un problème de configuration avec votre instance d'IAMIdentity Center ou avec le fournisseur d'identité externe (IdP) qu'IAMIdentity Center utilise comme source d'identité. Nous vous recommandons de vérifier les points suivants :
-
Vérifiez les paramètres de date et d'heure sur l'appareil que vous utilisez pour vous connecter. Nous vous recommandons de définir automatiquement la date et l'heure. Si ce n'est pas le cas, nous vous recommandons de synchroniser la date et l'heure avec un serveur Network Time Protocol (NTP) connu.
-
Vérifiez que le certificat IdP téléchargé sur IAM Identity Center est le même que celui fourni par votre IdP. Vous pouvez vérifier le certificat depuis la console IAM Identity Center en accédant aux paramètres. Dans l'onglet Source d'identité, sélectionnez Action, puis sélectionnez Gérer l'authentification. Si les certificats IdP et IAM Identity Center ne correspondent pas, importez un nouveau certificat dans IAM Identity Center.
-
Assurez-vous que le format NameID du fichier de métadonnées de votre fournisseur d'identité est le suivant :
-
urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress
-
-
Si vous utilisez AD Connector from AWS Directory Service comme fournisseur d'identité, vérifiez que les informations d'identification du compte de service sont correctes et n'ont pas expiré. Consultez Mettre à jour les informations d'identification de votre compte de service AD Connector AWS Directory Service pour plus d'informations.
Mes utilisateurs ne reçoivent pas d'e-mails d'IAMIdentity Center
Tous les e-mails envoyés par le service IAM Identity Center proviendront soit de l'adresse, no-reply@signin.aws
soit deno-reply@login.awsapps.com
. Votre système de messagerie doit être configuré de manière à accepter les e-mails provenant de ces adresses électroniques d'expéditeurs et à ne pas les traiter comme du courrier indésirable ou du spam.
Erreur : vous ne pouvez pas delete/modify/remove/assign accéder aux ensembles d'autorisations fournis dans le compte de gestion
Ce message indique que la Administration déléguée fonctionnalité a été activée et que l'opération que vous avez tentée précédemment ne peut être exécutée avec succès que par une personne disposant d'autorisations de compte de gestion AWS Organizations. Pour résoudre ce problème, connectez-vous en tant qu'utilisateur disposant de ces autorisations et réessayez d'exécuter la tâche ou attribuez cette tâche à une personne disposant des autorisations appropriées. Pour de plus amples informations, veuillez consulter Enregistrez un compte membre.
Erreur : jeton de session introuvable ou non valide
Cette erreur peut se produire lorsqu'un client, tel qu'un navigateur Web AWS CLI, essaie d'utiliser une session révoquée ou invalidée côté serveur. AWS Toolkit Pour résoudre ce problème, retournez sur l'application client ou sur le site Web et réessayez, y compris en vous reconnectant si vous y êtes invité. Cela peut parfois vous obliger à annuler également les demandes en attente, telles qu'une tentative de connexion en attente depuis l' AWS Toolkit intérieur de votre compteIDE.