翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center サインインイベントについて
AWS CloudTrail は、すべての IAM Identity Center ID ソースのサインインイベントの成功と失敗を記録します。 IAMIdentity Center および Active Directory (AD Connector および AWS Managed Microsoft AD) のソース ID には、特定の認証情報検証リクエストのステータスに加えて、特定の認証情報のチャレンジまたは要素を解決するようにユーザーに求められるたびにキャプチャされる追加のサインインイベントが含まれます。必要な認証情報のチャレンジをすべて完了したユーザーだけがサインインを許可され、UserAuthentication イベントが記録されます。
次の表は、各 IAM Identity Center サインイン CloudTrail イベント名、その目的、およびさまざまな ID ソースへの適用性を示しています。
| イベント名 | イベントの目的 | ID ソースの適用性 |
|---|---|---|
CredentialChallenge |
IAM Identity Center がユーザーに特定の認証情報のチャレンジの解決を要求し、必要CredentialTypeであった を指定する (例: PASSWORDまたは ) ことを通知するために使用しますTOTP。 |
ネイティブ IAM Identity Center ユーザー、AD Connector、および AWS Managed Microsoft AD |
CredentialVerification |
ユーザーが特定の CredentialChallenge リクエストの解決を試みたことを通知するために使用され、その認証情報が成功したか失敗したかを指定します。 |
ネイティブ IAM Identity Center ユーザー、AD Connector、および AWS Managed Microsoft AD |
UserAuthentication |
要求されたすべての認証要件をユーザーが正常に完了し、正常にサインインしたことを通知するために使用されます。ユーザーが必要な認証情報のチャレンジを正常に完了できなかった場合、UserAuthentication イベントはログに記録されません。 |
すべての ID ソース |
次の表は、特定のサインインイベントに含まれるその他の便利な CloudTrail イベントデータフィールドをまとめたものです。
| フィールド | イベントの目的 | サインインイベントの適用性 | 値の例 |
|---|---|---|---|
AuthWorkflowID |
サインインシーケンス全体で発生するすべてのイベントを相関させるために使用されます。ユーザーサインインごとに、IAMIdentity Center によって複数のイベントが出力される場合があります。 | CredentialChallenge, CredentialVerification,
UserAuthentication |
AuthWorkflow「ID」:「9de74b32-8362-4a01-a524-de21df59fd83」 |
CredentialType |
チャレンジされた認証またはファクターを指定するために使用されます。UserAuthentication イベントには、ユーザーのサインインーケンスで正常に検証された CredentialType 値がすべて含まれます。 |
CredentialChallenge, CredentialVerification,
UserAuthentication |
CredentialType「:PASSWORD」またはCredentialType「」:PASSWORD「,TOTP」 (指定できる値: PASSWORD、TOTP、WEBAUTHN、EXTERNAL_IDP、RESYNC_TOTP、EMAIL_OTP) |
DeviceEnrollmentRequired |
ユーザーがサインイン中に MFA デバイスを登録する必要があり、ユーザーがそのリクエストを正常に完了したことを指定するために使用されます。 | UserAuthentication |
DeviceEnrollmentRequired「」:「true」 |
LoginTo |
サインインに成功した後のリダイレクト先を指定するために使用します。 | UserAuthentication |
"LoginTo": "https://mydirectory.awsapps.com/start/....." |
CloudTrail IAM Identity Center のサインインフローの イベント
次の図は、サインインフローとサインインが出力する CloudTrail イベントを示しています。
この図は、パスワードサインインフローとフェデレーティッドサインインフローを示しています。
ステップ 1~8 で構成されるパスワードサインインフローは、ユーザー名とパスワードのサインインプロセス中のステップを示しています。 IAMIdentity Center は userIdentity.additionalEventData.CredentialType をPASSWORD「」に設定し、IAMIdentity Center は認証情報のチャレンジ-レスポンスサイクルを経過し、必要に応じて再試行します。
ステップの数は、ログインのタイプと多要素認証 (MFA) の有無によって異なります。最初のプロセスでは、3 つまたは 5 UserAuthentication つの CloudTrail イベントが発生し、認証が成功するまでのシーケンスが終了します。パスワード認証に失敗すると、IAMIdentity Center がCredentialChallenge通常の認証または有効な場合はMFA認証を再発行するため、追加の CloudTrail イベントが発生します。
パスワードサインインフローでは、 CreateUserAPIコールで新しく作成された IAM Identity Center ユーザーがワンタイムパスワード () でサインインするシナリオもカバーしますOTP。このシナリオの認証情報タイプはEMAIL_OTP「」です。
ステップ 1a、2a、および 8 で構成されるフェデレーティッドサインインフローは、フェデレーティッド認証プロセス中の主なステップを示しています。ここでSAMLは、アイデンティティプロバイダーによってアサーションが提供され、IAMIdentity Center によって検証され、成功すると になりますUserAuthentication。 IAM外部のフェデレーティッド ID プロバイダーがすべてのユーザー認証情報MFA認証を担当するため、Identity Center はステップ 3~7 で内部認証シーケンスを呼び出しません。
