IAM Identity Center の問題のトラブルシューティング - AWS IAM Identity Center
IAM Identity Center のアカウントインスタンスの作成に関する問題IAM Identity Center で動作するように事前設定されたクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。IAM Identity Center によって作成されたSAMLアサーションの内容に関する問題特定のユーザーが外部SCIMプロバイダーから IAM Identity Center に同期できない外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラーユーザー名が UPN形式の場合、ユーザーはサインインできませんIAM ロールを変更するときに「保護されたロールに対してオペレーションを実行できません」というエラーが表示されるディレクトリユーザーが、パスワードをリセットできませんユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできませんアプリケーションカタログからアプリケーションを正しく設定できないユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生しますエラー「アクセスコントロールのための属性の有効化に失敗しました」のデバイスを登録しようとすると、「ブラウザがサポートされていません」というメッセージが表示される MFAActive Directory の「ドメインユーザー」グループが IAM Identity Center に正しく同期されない無効なMFA認証情報エラー認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されますIdentity IAM Center にサインインしようとすると「It's not you, it's us」というエラーが表示されるユーザーが IAM Identity Center から E メールを受信していないエラー: 管理アカウントでプロビジョニングされたアクセス許可セットdelete/modify/remove/assignにアクセスできませんエラー: セッショントークンが見つからない、または無効です

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の問題のトラブルシューティング

以下は、IAMIdentity Center コンソールのセットアップ時または使用時に発生する可能性がある一般的な問題のトラブルシューティングに役立ちます。

IAM Identity Center のアカウントインスタンスの作成に関する問題

IAM Identity Center のアカウントインスタンスを作成するときは、いくつかの制限が適用される場合があります。IAM Identity Center コンソールからアカウントインスタンスを作成できない場合、またはサポートされている AWS マネージドアプリケーションのセットアップエクスペリエンスについては、次のユースケースを確認してください。

  • アカウントインスタンスを作成しようとしている AWS アカウント AWS リージョン の他の を確認します。アイデンティティセンターのインスタンスは 1 つにつき 1 IAM つに制限されています AWS アカウント。アプリケーションを有効にするには、IAMIdentity Center のインスタンス AWS リージョン で に切り替えるか、IAMIdentity Center のインスタンスがないアカウントに切り替えます。

  • 組織が 2023 年 9 月 14 日より前に IAM Identity Center を有効にしている場合、管理者はアカウントインスタンスの作成にオプトインする必要がある場合があります。管理者と協力して、管理アカウントの IAM Identity Center コンソールからアカウントインスタンスの作成を有効にします。

  • 管理者は、 IAM Identity Center のアカウントインスタンスの作成を制限するサービスコントロールポリシーを作成している可能性があります。管理者と協力してアカウントを許可リストに追加します。

IAM Identity Center で動作するように事前設定されたクラウドアプリケーションのリストを表示しようとすると、エラーが表示されます。

次のエラーは、他の IAM Identity Center を許可するsso:ListApplicationsが、許可しないポリシーがある場合に発生しますAPIs。ポリシーを更新してこのエラーを解決します。

アクセスListApplications許可は、複数の を承認しますAPIs。

  • ListApplications API。

  • IAM Identity Center コンソールListApplicationProvidersAPIで使用される APIと同様の内部 。

重複を解決するために、内部 は ListApplicationProvidersアクションを使用して も認可するAPIようになりました。パブリックを許可ListApplicationsAPIし、内部 を拒否するにはAPI、ポリシーに ListApplicationProvidersアクションを拒否するステートメントを含める必要があります。


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

内部 を許可APIし、 を拒否するにはListApplications、ポリシーで のみを許可する必要がありますListApplicationProviders。明示的に許可されていない場合、 ListApplicationsAPIは拒否されます。


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

ポリシーが更新されたら、 サポート に連絡して、このプロアクティブメジャーを削除してもらいます。

IAM Identity Center によって作成されたSAMLアサーションの内容に関する問題

IAM Identity Center は、 AWS アクセスポータルから AWS アカウント およびSAMLアプリケーションにアクセスするときに、これらのSAMLアサーション内の属性を含め、IAMIdentity Center によって作成および送信されるアサーションに対してウェブベースのデバッグエクスペリエンスを提供します。IAM Identity Center が生成するSAMLアサーションの詳細を表示するには、次のステップを使用します。

  1. AWS アクセスポータルにサインインします。

  2. ポータルにサインインしている状態で、Shift キーを押しながらアプリケーションタイルを選択し、Shift キーを離します。

  3. [You are now in administrator mode] (現在、管理者モードです) ページの情報を調べます。この情報を今後の参照用に保持するには、 をコピー XMLを選択し、内容を他の場所に貼り付けます。

  4. [Send to <application>] (<アプリケーション>に送信する) をクリックして続けます。このオプションは、アサーションをサービスプロバイダに送信します。

注記

ブラウザの設定やオペレーティングシステムによっては、この手順をサポートしていない場合があります。この手順は、Firefox、Chrome、Edge ブラウザを使用して Windows 10 で評価されています。

特定のユーザーが外部SCIMプロバイダーから IAM Identity Center に同期できない

ID プロバイダー (IdP) が同期を使用してユーザーを IAM Identity Center SCIM にプロビジョニングするように設定されている場合、ユーザーのプロビジョニングプロセス中に同期が失敗することがあります。これは、IdP のユーザー設定が IAM Identity Center の要件と互換性がないことを示している可能性があります。この場合、IAMアイデンティティセンターSCIMAPIsは問題の根本原因に関するインサイトを提供するエラーメッセージを返します。これらのエラーメッセージは、お使いの IdP のログまたは UI で確認できます。また、プロビジョニングの失敗に関する詳細情報は AWS CloudTrail ログでも確認できます。

ユーザーオブジェクトの必須、オプション、サポートされていないパラメータとオペレーションの仕様など、IAMアイデンティティセンターのSCIM実装の詳細については、「 IAMデベロッパーガイド」の「アイデンティティセンターSCIM実装SCIMデベロッパーガイド」を参照してください。

このエラーが発生する一般的な理由は以下のとおりです。

  1. IdP のユーザーオブジェクトに、名 (given)、姓 (family)、もしくは表示名がありません。

    エラーメッセージ: "2 validation errors detected: Value at 'name.givenName' failed to meet constraint: Member must meet regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length than or equal to 1"

    1. 解決策: ユーザーオブジェクト向けに、名 (given)、姓 (family)、表示名を追加します。さらに、IdP のユーザーオブジェクトのSCIMプロビジョニングマッピングが、これらのすべての属性に空でない値を送信するように設定されていることを確認します。

  2. 1 つの属性に対して複数の値がユーザーに送信されています (「マルチバリュー属性」とも知られれています)。例えば、ユーザーが IdP で職場と自宅の両方の電話番号を指定していたり、複数の E メールや実際の住所を指定していたりする場合、IdP はその属性の複数またはすべての値を同期するように設定されています。

    エラーメッセージ: "List attribute emails exceeds allowed limit of 1"

    1. ソリューションオプション:

      1. IdP のユーザーオブジェクトのSCIMプロビジョニングマッピングを更新して、特定の属性に対して単一の値のみを送信します。例えば、各ユーザーの職場の電話番号のみを送信するマッピングを設定します。

      2. IdP でユーザーオブジェクトから追加属性を安全に削除できる場合は、追加値を削除して、ユーザーのその属性に設定された値を 1 つまたは完全に無くすことができます。

      3. のアクションに 属性が必要ない場合は AWS、IdP のユーザーオブジェクトのSCIMプロビジョニングマッピングからその属性のマッピングを削除します。

  3. IdP は、複数の属性に基づいてターゲット (IAM アイデンティティセンター) のユーザーを照合しようとしています。ユーザー名は特定の IAM Identity Center インスタンス内で一意であることが保証されているため、マッチングに使用される属性usernameとして を指定するだけで済みます。

    1. 解決策: IdP SCIMの設定で、IAMIdentity Center のユーザーとのマッチングに 1 つの属性のみを使用していることを確認します。例えば、IdP userPrincipalNameusernameまたは を の userName 属性にマッピングして IAM Identity Center にSCIMプロビジョニングすれば、ほとんどの実装で十分です。

外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー

外部 IAM ID プロバイダー (IdP) でユーザーまたはグループをプロビジョニングするときに Identity Center の同期の問題が発生した場合は、外部 IdP ユーザーまたはグループに一意の属性値がないことが原因である可能性があります。外部 IdP に次のようなエラーメッセージが表示されます。

Refused to create a new, duplicate resource

この問題は、次のようなシナリオで発生する可能性があります。

  • シナリオ 1

    • IAM Identity Center で一意である必要がある属性に対して、外部 IdP で一意でないカスタマイズされた属性を使用しています。既存の IAM Identity Center ユーザーまたはグループは IdP との同期に失敗します。

  • シナリオ 2

    • IAM Identity Center で一意である必要がある属性に対して重複する属性を持つユーザーを作成しようとします。

      • 例えば、次の属性を持つ既存の IAM Identity Center ユーザーを作成または所有しているとします。

        • ユーザー名: Jane Doe

        • プライマリ E メールアドレス: jane_doe@example.com

      • ここで、外部 IdP に次の属性を持つ別のユーザーを作成しようとしたとします。

        • ユーザー名: Richard Doe

        • プライマリ E メールアドレス: jane_doe@example.com

          • 外部 IdP は、IAMIdentity Center でユーザーの同期と作成を試みます。ただし、2 つのユーザーのプライマリメールアドレスの値が重複しており、プライマリメールアドレスは一意でなければならないため、このアクションは失敗します。

外部 IdP ユーザーが IAM Identity Center に正常に同期するには、ユーザー名、プライマリ E メールアドレス、および externalID が一意である必要があります。同様に、外部 IdP グループが IAM Identity Center に正常に同期するには、グループ名は一意である必要があります。

問題を解決するには、ID ソースの属性が一意であることを確認してください。

ユーザー名が UPN形式の場合、ユーザーはサインインできません

ユーザーは、サインインページでユーザー名を入力するために使用する形式に基づいて、 AWS アクセスポータルにサインインできない場合があります。ほとんどの場合、ユーザーはプレーンユーザー名、ダウンレベルログオン名 (DOMAIN\UserName)、またはUPNログオン名 () を使用してユーザーポータルにサインインできますUserName@Corp.Example.com。ただし、IAMIdentity Center が で有効になっている接続されたディレクトリを使用してMFAいて、検証モードがコンテキスト対応または常時オンのいずれかに設定されている場合は例外です。このシナリオでは、ユーザーはダウンレベルログオン名 (DOMAIN\) でサインインする必要がありますUserName。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。アクティブディレクトリへのサインインに使用されるユーザー名の形式についての一般的な情報は、Microsoft のドキュメントサイトの「User Name Formats」(ユーザー名形式) を参照してください。

IAM ロールを変更するときに「保護されたロールに対してオペレーションを実行できません」というエラーが表示される

アカウントのIAMロールを確認すると、ロール名がAWSReservedSSO「_」で始まることがあります。これらは、 IAM Identity Center サービスがアカウントで作成したロールであり、アカウントにアクセス許可セットを割り当てることで生成されました。IAM コンソール内からこれらのロールを変更しようとすると、次のエラーが発生します。

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

これらのロールは、 の管理アカウントにある IAM Identity Center 管理者コンソールからのみ変更できます AWS Organizations。変更後は、割り当てられている AWS アカウントに変更を反映させることができます。

ディレクトリユーザーが、パスワードをリセットできません

ディレクトリユーザーが AWS アクセスポータルのサインイン時にパスワードを忘れた場合? オプションを使用してパスワードをリセットする場合、新しいパスワードは「」で説明されているデフォルトのパスワードポリシーに従う必要がありますIAM Identity Center で ID を管理する際のパスワード要件

ユーザーがポリシーに準拠するパスワードを入力し、エラー を受け取った場合はWe couldn't update your password、 が失敗 AWS CloudTrail を記録したかどうかを確認します。これは、次のフィルター CloudTrail を使用して のイベント履歴コンソールで検索することで実行できます。

"UpdatePassword"

メッセージに次のように記載されている場合は、サポートに連絡する必要があります。

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

この問題の別の原因として、ユーザー名の値が命名規則に反していることが考えられます。命名規則は、「姓」などの特定のパターンに従う必要があります。givenNameただし、一部のユーザー名はかなり長い場合や特殊文字が含まれている場合があり、これによりAPI呼び出しで文字が削除され、エラーが発生する可能性があります。同じ方法でテストユーザーとパスワードのリセットを試みて、これが当てはまるかどうかを確認することもできます。

問題が解決しない場合は、AWS サポートセンターまでお問い合わせください。

ユーザーはアクセス権限セットを参照しているが、割り当てられたアカウントやアプリケーションにアクセスできません

この問題は、外部 ID プロバイダーによる自動プロビジョニングにクロスドメイン ID 管理システム (SCIM) を使用している場合に発生する可能性があります。具体的には、ユーザーまたはユーザーがメンバーであったグループが削除され、ID プロバイダー内の同じユーザー名 (ユーザーの場合) または名前 (グループの場合) を使用して再作成されると、IAMアイデンティティセンターの新しいユーザーまたはグループに対して新しい一意の内部識別子が作成されます。ただし、IAMIdentity Center はアクセス許可データベース内の古い識別子への参照を保持しているため、ユーザーまたはグループの名前は UI に表示されますが、アクセスは失敗します。これは、UI が参照するときのベースとなるユーザーまたはグループ ID がもはや存在しないためです。

この場合 AWS アカウント 、アクセスを復元するには、最初に割り当てられた AWS アカウント(複数可) から古いユーザーまたはグループのアクセスを削除し、ユーザーまたはグループにアクセスを再割り当てします。これにより、新しいユーザーまたはグループの正しい識別子でアクセス権限セットが更新されます。同様に、アプリケーションのアクセス権を回復するには、そのアプリケーションの割り当てユーザーリストからそのユーザーまたはグループのアクセス権を削除し、その後、そのユーザーまたはグループを再び追加します。

また、問題のユーザーまたはグループの名前を参照するSCIM同期イベントを CloudTrail ログで検索して、 が失敗 AWS CloudTrail を記録したかどうかを確認することもできます。

アプリケーションカタログからアプリケーションを正しく設定できない

IAM Identity Center のアプリケーションカタログからアプリケーションを追加した場合は、各サービスプロバイダーが独自の詳細なドキュメントを提供することに注意してください。この情報には、IAMIdentity Center コンソールのアプリケーションの設定タブからアクセスできます。

問題がサービスプロバイダーのアプリケーションと IAM Identity Center 間の信頼関係の設定に関連している場合は、トラブルシューティングの手順について のマニュアルを確認してください。

ユーザーが外部の ID プロバイダーを使用してサインインしようとすると、「予期しないエラーが発生しました」というエラーが発生します

このエラーは複数の理由で発生する可能性がありますが、一般的な理由の 1 つは、SAMLリクエストで転送されるユーザー情報と IAM Identity Center のユーザー情報が一致しないことです。

外部 IdP を IAM ID ソースとして使用するときに Identity Center ユーザーが正常にサインインするには、次の条件を満たす必要があります。

  • SAML nameID 形式 (ID プロバイダーで設定) は「E メール」である必要があります

  • nameID 値は、正しく (RFC2822) 形式の文字列 (user@domain.com) である必要があります。

  • nameID 値は、IAMIdentity Center の既存のユーザーのユーザー名と完全に一致する必要があります (IAMIdentity Center の E メールアドレスが一致するかどうかは関係ありません。インバウンド一致はユーザー名に基づきます)。

  • 2.0 フェデレーションの IAM Identity Center SAML 実装では、ID プロバイダーと IAM Identity Center 間のSAMLレスポンスで 1 つのアサーションのみがサポートされます。暗号化されたSAMLアサーションはサポートされていません。

  • IAM アイデンティティセンターアカウントで が有効になっている場合アクセスコントロールの属性、次のステートメントが適用されます。

    • SAML リクエストでマッピングされる属性の数は 50 以下である必要があります。

    • SAML リクエストに複数値の属性を含めることはできません。

    • SAML リクエストに、同じ名前の複数の属性を含めることはできません。

    • 属性に値XMLとして構造化 を含めることはできません。

    • 名前形式は、汎用形式ではなく、SAML指定された形式である必要があります。

注記

IAM Identity Center は、フェSAMLデレーションを介した新しいユーザーまたはグループのユーザーまたはグループの「ジャストインタイム」作成を実行しません。つまり、IAMIdentity Center にサインインするには、手動で、または自動プロビジョニングを使用して、IAMIdentity Center でユーザーを事前に作成する必要があります。

このエラーは、ID プロバイダーで設定されたアサーションコンシューマーサービス (ACS) エンドポイントがIAM、Identity Center インスタンスによってACSURL提供される と一致しない場合にも発生する可能性があります。この 2 つの値が正確に一致するようにしてください。

さらに、 に移動 AWS CloudTrail してイベント名 でフィルタリングすることで、外部 ID プロバイダーのサインイン失敗をさらにトラブルシューティングできますExternalIdPDirectoryLogin

エラー「アクセスコントロールのための属性の有効化に失敗しました」

このエラーは、 を有効にするユーザーに を有効にするために必要なiam:UpdateAssumeRolePolicyアクセス許可ABACがない場合に発生する可能性がありますアクセスコントロールの属性

のデバイスを登録しようとすると、「ブラウザがサポートされていません」というメッセージが表示される MFA

WebAuthn は現在、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari ウェブブラウザ、Windows 10、Android プラットフォームでサポートされています。macOS および iOS ブラウザでのプラットフォーム認証サポートなど、サポートの一部のコンポーネント WebAuthn はさまざまです。ユーザーがサポートされていないブラウザまたはプラットフォームに WebAuthn デバイスを登録しようとすると、サポートされていない特定のオプションがグレー表示されるか、サポートされているすべてのメソッドがサポートされていないというエラーが表示されます。このような場合、ブラウザ/プラットフォームのサポートの詳細については、「: FIDO2ウェブ認証 (WebAuthn)」を参照してください。IAM Identity Center WebAuthn の の詳細については、「」を参照してくださいFIDO2 認証機能

Active Directory の「ドメインユーザー」グループが IAM Identity Center に正しく同期されない

アクティブディレクトリのドメインユーザーグループは、AD ユーザーオブジェクトのデフォルトの「プライマリグループ」です。Active Directory プライマリグループとそのメンバーシップは、 IAM Identity Center では読み取ることができません。IAM Identity Center リソースまたはアプリケーションへのアクセスを割り当てるときは、ドメインユーザーグループ以外のグループ (またはプライマリグループとして割り当てられた他のグループ) を使用して、グループメンバーシップを IAM Identity Center アイデンティティストアに適切に反映します。

無効なMFA認証情報エラー

このエラーは、ユーザーが外部 IAM ID プロバイダーのアカウント (たとえば、Okta or Microsoft Entra ID) は、 SCIMプロトコルを使用してアカウントが IAM Identity Center に完全にプロビジョニングされる前に実行できます。ユーザーアカウントが IAM Identity Center にプロビジョニングされたら、この問題は解決されます。アカウントが IAM Identity Center にプロビジョニングされていることを確認します。されていない場合は、外部 ID プロバイダーのプロビジョニングログを確認します。

認証アプリケーションを使って登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されます

IAM Identity Center がコードベースの認証アプリケーションと組み合わせて使用するものなど、時間ベースのワンタイムパスワード (TOTP) システムは、クライアントとサーバー間の時間同期に依存します。認証アプリケーションがインストールされているデバイスが信頼できるタイムソースに正しく同期されていることを確認するか、 NIST (https://www.time.gov/) やその他のローカル/リージョンの同等のものなど、信頼できるソースと一致するようにデバイス上の時間を手動で設定します。

Identity IAM Center にサインインしようとすると「It's not you, it's us」というエラーが表示される

このエラーは、IAMIdentity Center のインスタンス、または外部 ID プロバイダー (IdP) IAM Identity Center が ID ソースとして を使用しているセットアップの問題があることを示します。この場合、以下を確認することをお勧めします。

  • サインインに使用するデバイスの日付と時刻の設定を確認してください。日付と時刻は自動設定にすることをお勧めします。これが利用できない場合は、日付と時刻を既知の Network Time Protocol (NTP) サーバーに同期することをお勧めします。

  • Identity IAM Center にアップロードされた IdP 証明書が、IdP によって提供された証明書と同じであることを確認します。Identity IAM Center コンソールから証明書を確認するには、「設定」に移動します。[ID ソース] タブで [アクション] > [認証の管理] を選択します。IdP 証明書と IAM Identity Center 証明書が一致しない場合は、新しい証明書を IAM Identity Center にインポートします。

  • ID プロバイダーのメタデータファイルの NameID 形式が以下に従っていることを確認します。

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • から ID プロバイダー AWS Directory Service として AD Connector を使用している場合は、サービスアカウントの認証情報が正しく、有効期限が切れていないことを確認します。詳細については、「Update your AD Connector service account credentials in AWS Directory Service」を参照してください。

ユーザーが IAM Identity Center から E メールを受信していない

IAM Identity Center サービスによって送信されるすべての E メールは、アドレス no-reply@signin.awsまたは のいずれかから送信されますno-reply@login.awsapps.com。これらの送信者メールアドレスからのメールを受け入れ、ジャンクやスパムとして処理しないようにお使いのメールシステムを設定する必要があります。

エラー: 管理アカウントでプロビジョニングされたアクセス許可セットdelete/modify/remove/assignにアクセスできません

このメッセージは、委任された管理 機能が有効になっており、試行された操作は AWS Organizationsで管理アカウント権限を持つユーザーのみが正常に実行できるものであることを示しています。この問題を解決するには、これらの権限を持つユーザーとしてサインインし、タスクをもう一度実行してみるか、適切な権限を持つユーザーにこのタスクを割り当ててください。詳細については、「メンバーアカウントを作成する」を参照してください。

エラー: セッショントークンが見つからない、または無効です

このエラーは、ウェブブラウザ、 AWS Toolkit、 などのクライアントが AWS CLI、サーバー側で取り消されたセッションまたは無効化されたセッションを使用しようとすると発生する可能性があります。この問題を修正するには、該当するクライアントアプリケーションまたは Web サイトに戻り、プロンプトが表示されたら再度ログインするなどの対応を試してください。これには、 AWS Toolkit 内の からの保留中の接続試行など、保留中のリクエストもキャンセルする必要がある場合がありますIDE。