Registro em log das chamadas de API SCIM do IAM Identity Center com o AWS CloudTrail - AWS IAM Identity Center
ExemplosMensagens de erro comuns

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registro em log das chamadas de API SCIM do IAM Identity Center com o AWS CloudTrail

O IAM Identity Center SCIM é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura chamadas de API para o SCIM como eventos. Usando as informações coletadas por CloudTrail, você pode determinar as informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. Para saber mais sobre isso CloudTrail, consulte o Guia AWS CloudTrail do usuário.

nota

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. No entanto, talvez seja necessário alternar seu token de acesso para poder ver os eventos do SCIM, caso seu token tenha sido criado antes de setembro de 2024.

Para obter mais informações, consulte Fazer rodízio de um token de acesso.

O SCIM suporta o registro das seguintes operações como eventos em: CloudTrail

Exemplos

A seguir estão alguns exemplos de CloudTrail eventos.

Exemplo 1: evento gerado por uma chamada de CreateUser bem-sucedida.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Exemplo 2: evento gerado por PatchGroup que resulta na mensagem de erro Missing path in PATCH request porque o caminho está faltando.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Exemplo 3: Evento da CreateGroup chamada que resulta em mensagem de Duplicate GroupDisplayName erro, pois o nome do grupo que está tentando ser criado existe.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Exemplo 4: evento gerado por chamada de PatchUser que resulta em uma mensagem de erro List attribute emails exceeds allowed limit of 1 error. Os usuários só podem ter um endereço de e-mail.

{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}

Mensagens de erro comuns

A seguir estão as mensagens de erro de validação comuns que você pode receber em CloudTrail eventos para chamadas da API SCIM do IAM Identity Center:

  • E-mail de atributo de lista excede o limite permitido de 1

  • Limite permitido de endereços de atributo de lista de 1

  • 1 erros de validação detectados: o valor em '*name.familyName*' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • 2 erros de validação detectados: o valor em 'name.familyName' não satisfez a restrição: o comprimento do membro deve ser maior ou igual a 1; o valor em 'name.familyName' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+

  • 2 erros de validação detectados: o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve ter comprimento maior ou igual a 1; o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\n\\ r] +",

  • JSON inválido de RequestBody

  • Formato de arquivo inválido

Para obter mais informações sobre solução de erros de provisionamento do SCIM do IAM Identity Center, consulte este artigo de AWS re:Post.