Memecahkan masalah Pusat IAM Identitas - AWS IAM Identity Center
Masalah saat membuat instance akun dari IAM Identity CenterAnda menerima kesalahan saat mencoba melihat daftar aplikasi cloud yang telah dikonfigurasi sebelumnya untuk bekerja dengan Pusat IAM IdentitasMasalah mengenai isi SAML pernyataan yang dibuat oleh IAM Identity CenterPengguna tertentu gagal melakukan sinkronisasi ke Pusat IAM Identitas dari penyedia eksternal SCIMGandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternalPengguna tidak dapat masuk ketika nama pengguna mereka dalam UPN formatSaya mendapatkan kesalahan 'Tidak dapat melakukan operasi pada peran yang dilindungi' saat memodifikasi peran IAMPengguna direktori tidak dapat mengatur ulang kata sandi merekaPengguna saya direferensikan dalam set izin tetapi tidak dapat mengakses akun atau aplikasi yang ditetapkanSaya tidak bisa mendapatkan aplikasi saya dari katalog aplikasi yang dikonfigurasi dengan benarKesalahan 'Kesalahan tak terduga telah terjadi' ketika pengguna mencoba masuk menggunakan penyedia identitas eksternalKesalahan 'Atribut untuk kontrol akses gagal diaktifkan'Saya mendapatkan pesan 'Browser tidak didukung' ketika saya mencoba mendaftarkan perangkat MFAGrup Active Directory “Pengguna Domain” tidak disinkronkan dengan benar ke Pusat IAM IdentitasKesalahan kredensial tidak valid MFASaya mendapatkan pesan 'Kesalahan tak terduga telah terjadi' ketika saya mencoba mendaftar atau masuk menggunakan aplikasi autentikatorSaya mendapatkan kesalahan 'Bukan Anda, ini kami' saat mencoba masuk ke Pusat Identitas IAMPengguna saya tidak menerima email dari IAM Identity CenterKesalahan: Anda tidak dapat delete/modify/remove/assign mengakses set izin yang disediakan di akun manajemenKesalahan: Token sesi tidak ditemukan atau tidak valid

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah Pusat IAM Identitas

Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat menyiapkan atau menggunakan konsol Pusat IAM Identitas.

Masalah saat membuat instance akun dari IAM Identity Center

Beberapa batasan mungkin berlaku saat membuat instance akun dari IAM Identity Center. Jika Anda tidak dapat membuat instance akun melalui konsol Pusat IAM Identitas, atau pengalaman penyiapan aplikasi AWS terkelola yang didukung, verifikasi kasus penggunaan berikut:

  • Periksa yang lain Wilayah AWS Akun AWS di mana Anda mencoba membuat instance akun. Anda terbatas pada satu contoh Pusat IAM Identitas per Akun AWS. Untuk mengaktifkan aplikasi, baik beralih ke Wilayah AWS dengan instance Pusat IAM Identitas atau beralih ke akun tanpa instance Pusat IAM Identitas.

  • Jika organisasi Anda mengaktifkan Pusat IAM Identitas sebelum 14 September 2023, administrator Anda mungkin perlu ikut serta dalam pembuatan instans akun. Bekerja dengan administrator Anda untuk mengaktifkan pembuatan instans akun dari konsol Pusat IAM Identitas di akun manajemen.

  • Administrator Anda mungkin telah membuat Kebijakan Kontrol Layanan untuk membatasi pembuatan instance akun Pusat IAM Identitas. Bekerja dengan administrator Anda menambahkan akun Anda ke daftar izinkan.

Anda menerima kesalahan saat mencoba melihat daftar aplikasi cloud yang telah dikonfigurasi sebelumnya untuk bekerja dengan Pusat IAM Identitas

Kesalahan berikut ini terjadi ketika Anda memiliki kebijakan yang mengizinkan sso:ListApplications tetapi tidak Pusat IAM Identitas lainnyaAPIs. Perbarui kebijakan Anda untuk mengatasi kesalahan ini.

ListApplicationsIzin tersebut mengotorisasi beberapaAPIs:

  • Itu ListApplicationsAPI.

  • Internal API mirip dengan yang ListApplicationProviders API digunakan di konsol Pusat IAM Identitas.

Untuk membantu menyelesaikan duplikasi, internal API sekarang juga mengizinkan penggunaan tindakan. ListApplicationProviders Untuk mengizinkan publik ListApplications API tetapi menolak internalAPI, kebijakan Anda harus menyertakan pernyataan yang menyangkal ListApplicationProviders tindakan tersebut:


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

Untuk memungkinkan internal API tetapi menyangkalListApplications, kebijakan hanya perlu mengizinkanListApplicationProviders. Ditolak ListApplications API jika tidak diizinkan secara eksplisit.


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

Saat kebijakan Anda diperbarui, hubungi AWS Support agar tindakan proaktif ini dihapus.

Masalah mengenai isi SAML pernyataan yang dibuat oleh IAM Identity Center

IAMIdentity Center menyediakan pengalaman debug berbasis web untuk SAML pernyataan yang dibuat dan dikirim oleh IAM Identity Center, termasuk atribut dalam pernyataan ini, saat mengakses Akun AWS dan aplikasi dari portal akses. SAML AWS Untuk melihat detail SAML pernyataan yang dihasilkan IAM Identity Center, gunakan langkah-langkah berikut.

  1. Masuk ke portal AWS akses.

  2. Saat Anda masuk ke portal, tahan tombol Shift ke bawah, pilih ubin aplikasi, lalu lepaskan tombol Shift.

  3. Periksa informasi pada halaman berjudul Anda sekarang dalam mode administrator. Untuk menyimpan informasi ini untuk referensi di masa mendatang, pilih Salin XML, dan tempel konten di tempat lain.

  4. Pilih Kirim untuk <application>melanjutkan. Opsi ini mengirimkan pernyataan ke penyedia layanan.

catatan

Beberapa konfigurasi browser dan sistem operasi mungkin tidak mendukung prosedur ini. Prosedur ini telah diuji pada Windows 10 menggunakan browser Firefox, Chrome, dan Edge.

Pengguna tertentu gagal melakukan sinkronisasi ke Pusat IAM Identitas dari penyedia eksternal SCIM

Jika Penyedia Identitas (IDP) Anda dikonfigurasi untuk menyediakan pengguna ke Pusat IAM Identitas menggunakan SCIM sinkronisasi, Anda mungkin mengalami kegagalan sinkronisasi selama proses penyediaan pengguna. Ini mungkin menunjukkan bahwa konfigurasi pengguna di IDP Anda tidak kompatibel dengan persyaratan Pusat IAM Identitas. Ketika ini terjadi, Pusat IAM Identitas SCIM APIs akan menampilkan pesan kesalahan yang memberikan wawasan tentang akar penyebab masalah. Anda dapat menemukan pesan kesalahan ini di log atau UI IDP Anda. Atau, Anda mungkin menemukan informasi lebih rinci tentang kegagalan penyediaan di log.AWS CloudTrail

Untuk informasi selengkapnya tentang SCIM implementasi Pusat IAM Identitas, termasuk spesifikasi parameter dan operasi wajib, opsional, dan tidak didukung untuk objek pengguna, lihat Panduan Pengembang SCIMImplementasi Pusat IAM Identitas di Panduan Pengembang SCIM

Berikut ini adalah beberapa alasan umum untuk kesalahan ini:

  1. Objek pengguna di iDP tidak memiliki nama pertama (diberikan), nama terakhir (keluarga), dan/atau nama tampilan.

    Pesan Kesalahan: “2 kesalahan validasi terdeteksi: Nilai 'name.givenName' gagal memenuhi batasan: Anggota harus memenuhi pola ekspresi reguler: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {N}\\ p {P}\\ t\\ n\\ r] +; Nilai pada 'name.givenName' gagal memenuhi batasan: Anggota harus memiliki panjang lebih besar dari atau sama dengan 1"

    1. Solusi: Tambahkan nama pertama (diberikan), terakhir (keluarga), dan tampilan untuk objek pengguna. Selain itu, pastikan bahwa SCIM pemetaan penyediaan untuk objek pengguna di IDP Anda dikonfigurasi untuk mengirim nilai nonempty untuk semua atribut ini.

  2. Lebih dari satu nilai untuk satu atribut sedang dikirim untuk pengguna (juga dikenal sebagai “atribut multi-nilai”). Misalnya, pengguna mungkin memiliki nomor telepon kantor dan rumah yang ditentukan dalam iDP, atau beberapa email atau alamat fisik, dan idP Anda dikonfigurasi untuk mencoba menyinkronkan beberapa atau semua nilai untuk atribut tersebut.

    Pesan Kesalahan: “Atribut daftar emails melebihi batas yang diizinkan 1"

    1. Opsi solusi:

      1. Perbarui SCIM pemetaan penyediaan Anda untuk objek pengguna di IDP Anda untuk mengirim hanya satu nilai untuk atribut yang diberikan. Misalnya, konfigurasikan pemetaan yang hanya mengirimkan nomor telepon kerja untuk setiap pengguna.

      2. Jika atribut tambahan dapat dihapus dengan aman dari objek pengguna di IDP, Anda dapat menghapus nilai tambahan, meninggalkan salah satu atau nol nilai ditetapkan untuk atribut tersebut untuk pengguna.

      3. Jika atribut tidak diperlukan untuk tindakan apa pun AWS, hapus pemetaan untuk atribut tersebut dari SCIM pemetaan penyediaan untuk objek pengguna di idP Anda.

  3. IDP Anda mencoba mencocokkan pengguna di target (Pusat IAM Identitas, dalam hal ini) berdasarkan beberapa atribut. Karena nama pengguna dijamin unik dalam instance Pusat IAM Identitas tertentu, Anda hanya perlu menentukan username sebagai atribut yang digunakan untuk pencocokan.

    1. Solusi: Pastikan SCIM konfigurasi Anda di IDP Anda hanya menggunakan satu atribut untuk pencocokan dengan pengguna di Pusat IAM Identitas. Misalnya, pemetaan username atau userPrincipalName di IDP ke atribut SCIM untuk penyediaan userName ke Pusat Identitas akan benar dan IAM cukup untuk sebagian besar implementasi.

Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal

Jika Anda mengalami masalah sinkronisasi Pusat IAM Identitas saat menyediakan pengguna atau grup di penyedia identitas eksternal (iDP), mungkin karena pengguna atau grup iDP eksternal Anda tidak memiliki nilai atribut unik. Anda mungkin menerima pesan galat berikut di iDP eksternal Anda:

Menolak untuk membuat sumber daya duplikat baru

Anda dapat mengalami masalah ini dalam skenario berikut:

  • Skenario 1

    • Anda menggunakan atribut non-unik yang disesuaikan di iDP eksternal Anda untuk atribut yang harus unik IAM di Pusat Identitas. Pengguna atau grup Pusat IAM Identitas yang ada gagal melakukan sinkronisasi ke IDP Anda.

  • Skenario 2

    • Anda mencoba membuat pengguna yang memiliki atribut duplikat untuk atribut yang harus unik di Pusat IAM Identitas.

      • Misalnya, Anda membuat atau memiliki pengguna Pusat IAM Identitas yang ada dengan atribut berikut:

        • Nama Pengguna: Jane Doe

        • Alamat Email Utama: jane_doe@example.com

      • Kemudian Anda mencoba membuat pengguna lain di iDP eksternal Anda dengan atribut berikut:

        • Nama Pengguna: Richard Doe

        • Alamat Email Utama: jane_doe@example.com

          • IdP eksternal mencoba untuk menyinkronkan dan membuat pengguna di IAM Pusat Identitas. Namun, tindakan ini gagal karena kedua pengguna memiliki nilai duplikat untuk alamat email utama yang harus unik.

Nama pengguna, alamat email utama, externalLID harus unik agar pengguna iDP eksternal Anda berhasil melakukan sinkronisasi ke Pusat Identitas. IAM Demikian pula, nama grup harus unik agar grup iDP eksternal Anda berhasil disinkronkan ke Pusat Identitas. IAM

Solusinya adalah meninjau atribut sumber identitas Anda dan memastikannya unik.

Pengguna tidak dapat masuk ketika nama pengguna mereka dalam UPN format

Pengguna mungkin tidak dapat masuk ke portal AWS akses berdasarkan format yang mereka gunakan untuk memasukkan nama pengguna mereka di halaman masuk. Untuk sebagian besar, pengguna dapat masuk ke portal pengguna menggunakan nama pengguna biasa mereka, nama logon tingkat bawah (DOMAIN\UserName) atau nama logon mereka UPN (). UserName@Corp.Example.com Pengecualian untuk ini adalah ketika IAM Identity Center menggunakan direktori terhubung yang telah diaktifkan MFA dan mode verifikasi telah disetel ke Context-aware atau Always-on. Dalam skenario ini, pengguna harus masuk dengan nama logon tingkat bawah (DOMAIN\). UserName Untuk informasi selengkapnya, lihat Otentikasi multi-faktor untuk pengguna Pusat Identitas. Untuk informasi umum tentang format nama pengguna yang digunakan untuk masuk ke Active Directory, lihat Format Nama Pengguna di situs web dokumentasi Microsoft.

Saya mendapatkan kesalahan 'Tidak dapat melakukan operasi pada peran yang dilindungi' saat memodifikasi peran IAM

Saat meninjau IAM Peran di akun, Anda mungkin melihat nama peran yang diawali dengan 'AWSReservedSSO_'. Ini adalah peran yang telah dibuat oleh layanan Pusat IAM Identitas di akun, dan mereka berasal dari menetapkan izin yang ditetapkan ke akun. Mencoba memodifikasi peran ini dari dalam IAM konsol akan menghasilkan kesalahan berikut:

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

Peran ini hanya dapat dimodifikasi dari konsol Administrator Pusat IAM Identitas, yang ada di akun manajemen AWS Organizations. Setelah dimodifikasi, Anda kemudian dapat menekan perubahan ke AWS akun yang ditetapkan.

Pengguna direktori tidak dapat mengatur ulang kata sandi mereka

Ketika pengguna direktori mengatur ulang kata sandi mereka menggunakan Lupa Kata Sandi? opsi saat masuk portal AWS akses, kata sandi baru mereka harus mematuhi kebijakan kata sandi default seperti yang dijelaskan dalamPersyaratan kata sandi saat mengelola identitas di Pusat IAM Identitas.

Jika pengguna memasukkan kata sandi yang mematuhi kebijakan dan kemudian menerima kesalahanWe couldn't update your password, periksa untuk melihat apakah AWS CloudTrail tercatat kegagalan tersebut. Ini dapat dilakukan dengan mencari di konsol Riwayat Acara CloudTrail menggunakan filter berikut:

"UpdatePassword"

Jika pesan menyatakan hal berikut, maka Anda mungkin perlu menghubungi dukungan:

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

Kemungkinan penyebab lain dari masalah ini adalah dalam konvensi penamaan yang diterapkan pada nilai nama pengguna. Konvensi penamaan harus mengikuti pola tertentu seperti 'nama keluarga. givenName'. Namun, beberapa nama pengguna bisa sangat panjang, atau mengandung karakter khusus, dan ini dapat menyebabkan karakter dijatuhkan dalam API panggilan, sehingga mengakibatkan kesalahan. Anda mungkin ingin mencoba pengaturan ulang kata sandi dengan pengguna uji dengan cara yang sama untuk memverifikasi apakah ini masalahnya.

Jika masalah berlanjut, hubungi Pusat AWS Dukungan.

Pengguna saya direferensikan dalam set izin tetapi tidak dapat mengakses akun atau aplikasi yang ditetapkan

Masalah ini dapat terjadi jika Anda menggunakan System for Cross-domain Identity Management (SCIM) untuk Penyediaan Otomatis dengan penyedia identitas eksternal. Secara khusus, ketika pengguna, atau grup yang menjadi anggotanya, dihapus kemudian dibuat ulang menggunakan nama pengguna yang sama (untuk pengguna) atau nama (untuk grup) di penyedia identitas, pengidentifikasi internal unik baru dibuat untuk pengguna atau grup baru di Pusat IAM Identitas. Namun, Pusat IAM Identitas masih memiliki referensi ke pengenal lama di database izinnya, sehingga nama pengguna atau grup masih muncul di UI, tetapi akses gagal. Ini karena ID pengguna atau grup yang mendasari yang dirujuk UI tidak ada lagi.

Untuk memulihkan Akun AWS akses dalam kasus ini, Anda dapat menghapus akses untuk pengguna atau grup lama dari Akun AWS(s) tempat awalnya ditetapkan, dan kemudian menetapkan kembali akses ke pengguna atau grup. Ini memperbarui set izin dengan pengenal yang benar untuk pengguna atau grup baru. Demikian pula, untuk memulihkan akses aplikasi, Anda dapat menghapus akses untuk pengguna atau grup dari daftar pengguna yang ditetapkan untuk aplikasi itu, lalu menambahkan pengguna atau grup kembali lagi.

Anda juga dapat memeriksa untuk melihat apakah AWS CloudTrail mencatat kegagalan dengan mencari CloudTrail log Anda untuk peristiwa SCIM sinkronisasi yang mereferensikan nama pengguna atau grup yang dimaksud.

Saya tidak bisa mendapatkan aplikasi saya dari katalog aplikasi yang dikonfigurasi dengan benar

Jika Anda menambahkan aplikasi dari katalog aplikasi di IAM Identity Center, ketahuilah bahwa setiap penyedia layanan menyediakan dokumentasi terperinci mereka sendiri. Anda dapat mengakses informasi ini dari tab Konfigurasi untuk aplikasi di konsol Pusat IAM Identitas.

Jika masalah terkait dengan pengaturan kepercayaan antara aplikasi penyedia layanan dan Pusat IAM Identitas, pastikan untuk memeriksa instruksi manual untuk langkah-langkah pemecahan masalah.

Kesalahan 'Kesalahan tak terduga telah terjadi' ketika pengguna mencoba masuk menggunakan penyedia identitas eksternal

Kesalahan ini dapat terjadi karena beberapa alasan, tetapi satu alasan umum adalah ketidakcocokan antara informasi pengguna yang dibawa dalam SAML permintaan, dan informasi untuk pengguna di Pusat IAM Identitas.

Agar pengguna Pusat IAM Identitas berhasil masuk saat menggunakan iDP eksternal sebagai sumber identitas, berikut ini harus benar:

  • Format SAML NameID (dikonfigurasi di penyedia identitas Anda) harus 'email'

  • Nilai nameId harus berupa string yang diformat dengan benar (RFC2822) (user@domain.com)

  • Nilai NameID harus sama persis dengan nama pengguna pengguna yang ada di Pusat IAM Identitas (tidak masalah apakah alamat email di Pusat IAM Identitas cocok atau tidak — kecocokan masuk didasarkan pada nama pengguna)

  • Implementasi IAM Identity Center dari federasi SAML 2.0 hanya mendukung 1 pernyataan dalam SAML tanggapan antara penyedia identitas dan Pusat IAM Identitas. Itu tidak mendukung pernyataan terenkripsi. SAML

  • Pernyataan berikut berlaku jika Atribut untuk kontrol akses diaktifkan di akun Pusat IAM Identitas Anda:

    • Jumlah atribut yang dipetakan dalam SAML permintaan harus 50 atau kurang.

    • SAMLPermintaan tidak boleh berisi atribut multi-nilai.

    • SAMLPermintaan tidak boleh berisi beberapa atribut dengan nama yang sama.

    • Atribut tidak boleh mengandung terstruktur XML sebagai nilai.

    • Format Nama harus berupa format SAML tertentu, bukan format generik.

catatan

IAMIdentity Center tidak melakukan pembuatan “tepat waktu” pengguna atau grup untuk pengguna atau grup baru melalui SAML federasi. Ini berarti bahwa pengguna harus dibuat sebelumnya di Pusat IAM Identitas, baik secara manual atau melalui penyediaan otomatis, untuk masuk ke IAM Pusat Identitas.

Kesalahan ini juga dapat terjadi ketika titik akhir Assertion Consumer Service (ACS) yang dikonfigurasi di penyedia identitas Anda tidak cocok dengan yang ACS URL disediakan oleh instans Pusat IAM Identitas Anda. Pastikan kedua nilai ini sama persis.

Selain itu, Anda dapat memecahkan masalah kegagalan masuk penyedia identitas eksternal lebih lanjut dengan membuka AWS CloudTrail dan memfilter nama acara. ExternalIdPDirectoryLogin

Kesalahan 'Atribut untuk kontrol akses gagal diaktifkan'

Kesalahan ini dapat terjadi jika pengguna yang mengaktifkan ABAC tidak memiliki iam:UpdateAssumeRolePolicy izin yang diperlukan untuk mengaktifkan. Atribut untuk kontrol akses

Saya mendapatkan pesan 'Browser tidak didukung' ketika saya mencoba mendaftarkan perangkat MFA

WebAuthn Saat ini didukung di browser web Google Chrome, Mozilla Firefox, Microsoft Edge dan Apple Safari, serta platform Windows 10 dan Android. Beberapa komponen WebAuthn dukungan dapat bervariasi, seperti dukungan autentikator platform di browser macOS dan iOS. Jika pengguna mencoba mendaftarkan WebAuthn perangkat pada browser atau platform yang tidak didukung, mereka akan melihat opsi tertentu berwarna abu-abu yang tidak didukung, atau mereka akan menerima kesalahan bahwa semua metode yang didukung tidak didukung. Dalam kasus ini, silakan merujuk ke FIDO2: Web Authentication (WebAuthn) untuk informasi lebih lanjut tentang dukungan browser/platform. Untuk informasi selengkapnya tentang WebAuthn di Pusat IAM Identitas, lihatFIDO2pengautentikasi.

Grup Active Directory “Pengguna Domain” tidak disinkronkan dengan benar ke Pusat IAM Identitas

Grup Pengguna Domain Direktori Aktif adalah “grup utama” default untuk objek pengguna AD. Grup utama Direktori Aktif dan keanggotaannya tidak dapat dibaca oleh Pusat IAM Identitas. Saat menetapkan akses ke sumber daya atau aplikasi Pusat IAM Identitas, gunakan grup selain grup Pengguna Domain (atau grup lain yang ditetapkan sebagai grup utama) agar keanggotaan grup tercermin dengan benar di penyimpanan IAM identitas Pusat Identitas.

Kesalahan kredensial tidak valid MFA

Kesalahan ini dapat terjadi ketika pengguna mencoba masuk ke Pusat IAM Identitas menggunakan akun dari penyedia identitas eksternal (misalnya, Okta atau Microsoft Entra ID) sebelum akun mereka sepenuhnya disediakan ke Pusat IAM Identitas menggunakan protokol. SCIM Setelah akun pengguna disediakan ke Pusat IAM Identitas, masalah ini harus diselesaikan. Konfirmasikan bahwa akun telah disediakan ke Pusat IAM Identitas. Jika tidak, periksa log penyediaan di penyedia identitas eksternal.

Saya mendapatkan pesan 'Kesalahan tak terduga telah terjadi' ketika saya mencoba mendaftar atau masuk menggunakan aplikasi autentikator

Sistem kata sandi satu kali berbasis waktu, seperti yang digunakan oleh IAM Identity Center dalam kombinasi dengan aplikasi autentikator berbasis kode, bergantung pada sinkronisasi waktu antara klien dan server. TOTP Pastikan perangkat tempat aplikasi autentikator diinstal disinkronkan dengan benar ke sumber waktu yang andal, atau atur waktu di perangkat secara manual agar sesuai dengan sumber terpercaya, seperti NIST (https://www.time.gov/) atau setara lokal/regional lainnya.

Saya mendapatkan kesalahan 'Bukan Anda, ini kami' saat mencoba masuk ke Pusat Identitas IAM

Kesalahan ini menunjukkan ada masalah penyiapan dengan instance Pusat IAM Identitas Anda atau Pusat Identitas penyedia identitas eksternal (iDP) IAM yang digunakan sebagai sumber identitasnya. Kami sarankan Anda memverifikasi hal-hal berikut:

  • Verifikasi pengaturan tanggal dan waktu pada perangkat yang Anda gunakan untuk masuk. Kami menyarankan Anda mengatur tanggal dan waktu yang akan diatur secara otomatis. Jika itu tidak tersedia, kami sarankan untuk menyinkronkan tanggal dan waktu Anda ke server Network Time Protocol (NTP) yang dikenal.

  • Verifikasi bahwa sertifikat IDP yang diunggah ke Pusat IAM Identitas sama dengan yang diberikan oleh IDP Anda. Anda dapat memeriksa sertifikat dari konsol Pusat IAM Identitas dengan menavigasi ke Pengaturan. Di tab Sumber Identitas pilih Tindakan dan kemudian pilih Kelola Otentikasi. Jika sertifikat IDP dan Pusat IAM Identitas tidak cocok, impor sertifikat baru ke Pusat IAM Identitas.

  • Pastikan format nameID dalam file metadata penyedia identitas Anda adalah sebagai berikut:

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • Jika Anda menggunakan AD Connector dari AWS Directory Service sebagai penyedia identitas Anda, verifikasi bahwa kredensi untuk akun layanan sudah benar dan belum kedaluwarsa. Lihat Memperbarui kredensi akun layanan AD Connector Anda AWS Directory Service untuk informasi selengkapnya.

Pengguna saya tidak menerima email dari IAM Identity Center

Semua email yang dikirim oleh layanan Pusat IAM Identitas akan berasal dari alamat no-reply@signin.aws atauno-reply@login.awsapps.com. Sistem surat Anda harus dikonfigurasi sehingga menerima email dari alamat email pengirim ini dan tidak menanganinya sebagai sampah atau spam.

Kesalahan: Anda tidak dapat delete/modify/remove/assign mengakses set izin yang disediakan di akun manajemen

Pesan ini menunjukkan bahwa Administrator yang didelegasikan fitur telah diaktifkan dan bahwa operasi yang Anda coba sebelumnya hanya dapat berhasil dilakukan oleh seseorang yang memiliki izin akun manajemen. AWS Organizations Untuk mengatasi masalah ini, masuk sebagai pengguna yang memiliki izin ini dan coba lakukan tugas lagi atau tetapkan tugas ini kepada seseorang yang memiliki izin yang benar. Untuk informasi selengkapnya, lihat Daftarkan akun anggota.

Kesalahan: Token sesi tidak ditemukan atau tidak valid

Kesalahan ini dapat terjadi ketika klien, seperti browser web, atau AWS Toolkit AWS CLI, mencoba menggunakan sesi yang dicabut atau tidak valid di sisi server. Untuk memperbaiki masalah ini, kembali ke aplikasi klien atau situs web dan coba lagi, termasuk masuk lagi jika diminta. Ini terkadang mengharuskan Anda untuk juga membatalkan permintaan yang tertunda, seperti upaya koneksi yang tertunda dari AWS Toolkit dalamIDE.