As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Registrando chamadas da API SCIM do IAM Identity Center com AWS CloudTrail
<a name="scim-logging-using-cloudtrail"></a>

O [IAM Identity Center SCIM](other-idps.md) é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura chamadas de API para o SCIM como eventos. Usando as informações coletadas por CloudTrail, você pode determinar as informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

**nota**  
CloudTrail é ativado no seu Conta da AWS quando você cria a conta. No entanto, pode ser necessário fazer rodízio de tokens de acesso para ver os eventos do SCIM, caso o token tenha sido criado antes de setembro de 2024.  
Para obter mais informações, consulte [Fazer rodízio de um token de acesso](rotate-token.md).

O SCIM suporta o registro das seguintes operações como eventos em: CloudTrail
+ [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/developerguide/creategroup.html)
+ [CreateUser](https://docs.aws.amazon.com/singlesignon/latest/developerguide/createuser.html)
+ [DeleteGroup](https://docs.aws.amazon.com/singlesignon/latest/developerguide/deletegroup.html)
+ [DeleteUser](https://docs.aws.amazon.com/singlesignon/latest/developerguide/deleteuser.html)
+ [GetGroup](https://docs.aws.amazon.com/singlesignon/latest/developerguide/getgroup.html)
+ [GetSchema](https://docs.aws.amazon.com/singlesignon/latest/developerguide/getschema.html)
+ [GetUser](https://docs.aws.amazon.com/singlesignon/latest/developerguide/getuser.html)
+ [ListGroups](https://docs.aws.amazon.com/singlesignon/latest/developerguide/listgroups.html)
+ [ListResourceTypes](https://docs.aws.amazon.com/singlesignon/latest/developerguide/listresourcetypes.html)
+ [ListSchemas](https://docs.aws.amazon.com/singlesignon/latest/developerguide/listschemas.html)
+ [ListUsers](https://docs.aws.amazon.com/singlesignon/latest/developerguide/listusers.html)
+ [PatchGroup](https://docs.aws.amazon.com/singlesignon/latest/developerguide/patchgroup.html)
+ [PatchUser](https://docs.aws.amazon.com/singlesignon/latest/developerguide/patchuser.html)
+ [PutUser](https://docs.aws.amazon.com/singlesignon/latest/developerguide/putuser.html)
+ [ServiceProviderConfig](https://docs.aws.amazon.com/singlesignon/latest/developerguide/serviceproviderconfig.html)

## Exemplos de CloudTrail eventos
<a name="scim-logging-using-cloudtrail-examples"></a>

Os exemplos a seguir demonstram registros de CloudTrail eventos típicos gerados durante as operações do SCIM com o IAM Identity Center. Esses exemplos mostram a estrutura e o conteúdo dos eventos para operações bem-sucedidas e cenários de erro comuns, ajudando você a entender como interpretar os CloudTrail registros ao solucionar problemas de provisionamento do SCIM.

### Operação `CreateUser` bem-sucedida
<a name="scim-successful-createuser-example"></a>

Este CloudTrail evento mostra uma `CreateUser` operação bem-sucedida realizada por meio da API SCIM. O evento captura os parâmetros da solicitação (com informações confidenciais mascaradas) e os elementos de resposta, incluindo o ID do usuário recém-criado. Esse tipo de evento é gerado quando um provedor de identidades provisiona com sucesso um novo usuário para o IAM Identity Center usando o protocolo SCIM.

```
{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "WebIdentityUser",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "schemas" : [
        "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
      "name": {
        "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
      },
      "active": true,
      "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": {
    "meta" : {
      "created" : "Oct 10, 2024, 1:23:45 PM",
      "lastModified" : "Oct 10, 2024, 1:23:45 PM",
      "resourceType" : "User"
    },
    "displayName" : "HIDDEN_DUE_TO_SECURITY_REASONS",
    "schemas" : [
      "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "name": {
      "familyName": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "givenName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "active": true,  
    "id" : "c4488478-a0e1-700e-3d75-96c6bb641596",
    "userName": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}
```

### Falha na operação `PatchGroup`: ausência do atributo de caminho obrigatório
<a name="scim-failed-patchgroup-example"></a>

Esse CloudTrail evento mostra uma falha na `PatchGroup` operação que resultou em `ValidationException` uma mensagem de erro`"Missing path in PATCH request"`. O erro ocorreu porque a operação `PATCH` exige um atributo de caminho para especificar qual atributo de grupo modificar, mas esse atributo estava ausente na solicitação.

```
{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "Missing path in PATCH request",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REMOVE",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}
```

### Falha na operação `CreateGroup`: o nome do grupo já existe
<a name="scim-failed-creategroup-example"></a>

Esse CloudTrail evento mostra uma falha na `CreateGroup` operação que resultou em `ConflictException` uma mensagem de erro`"Duplicate GroupDisplayName"`. Esse erro ocorre ao tentar criar um grupo com um nome de exibição que já existe no IAM Identity Center. O provedor de identidades deve usar um nome de grupo exclusivo ou atualizar o grupo existente em vez de criar um novo.

```
{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "CreateGroup",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ConflictException",
  "errorMessage": "Duplicate GroupDisplayName",
  "requestParameters": {
    "httpBody": {
      "displayName": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "tenantId": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}
```

### Falha na operação `PatchUser`: vários endereços de e-mail não compatíveis
<a name="scim-failed-patchuser-example"></a>

Esse CloudTrail evento mostra uma falha na `PatchUser` operação que resultou em `ValidationException` uma mensagem de erro`"List attribute emails exceeds allowed limit of 1"`. Esse erro ocorre ao tentar atribuir vários endereços de e-mail a um usuário, uma vez que o IAM Identity Center oferece suporte a apenas um endereço de e-mail por usuário. O provedor de identidade deve configurar o mapeamento SCIM para enviar somente um único endereço de e-mail para cada usuário.

```
{
  "eventVersion": "1.10",
  "userIdentity": {
    "type": "Unknown",
    "accountId": "123456789012",
    "accessKeyId": "xxxx"
  },
  "eventTime": "xxxx",
  "eventSource": "identitystore-scim.amazonaws.com",
  "eventName": "PatchUser",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "xxx.xxx.xxx.xxx",
  "userAgent": "Go-http-client/2.0",
  "errorCode": "ValidationException",
  "errorMessage": "List attribute emails exceeds allowed limit of 1",
  "requestParameters": {
    "httpBody": {
      "operations": [
        {
          "op": "REPLACE",
          "path": "emails",
          "value": "HIDDEN_DUE_TO_SECURITY_REASONS"
        }
      ],
      "schemas": [
        "HIDDEN_DUE_TO_SECURITY_REASONS"
      ]
    },
    "tenantId": "xxxx",
    "id": "xxxx"
  },
  "responseElements": null,
  "requestID": "xxxx",
  "eventID": "xxxx",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "123456789012",
  "eventCategory": "Management",
  "tlsDetails": {
    "clientProvidedHostHeader": "scim.us-east-1.amazonaws.com"
  }
}
```

## Erros comuns de validação da API SCIM no IAM Identity Center
<a name="scim-cloudtrail-common-errors"></a>

As mensagens de erro de validação a seguir geralmente aparecem em CloudTrail eventos ao usar a API SCIM com o IAM Identity Center. Esses erros de validação geralmente ocorrem durante as operações de provisionamento de usuários e grupos.

Para obter orientação detalhada sobre como resolver esses erros e configurar adequadamente o provisionamento do SCIM, consulte este [Artigo de AWS re:Post](https://repost.aws//knowledge-center/iam-identity-center-provision)
+ E-mail de atributo de lista excede o limite permitido de 1
+ Limite permitido de endereços de atributo de lista de 1
+ 1 erros de validação detectados: o valor em '\$1name.familyName\$1' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\$1\$1p\$1L\$1\$1\$1p\$1M\$1\$1\$1p\$1S\$1\$1\$1p\$1N\$1\$1\$1p\$1P\$1\$1\$1t\$1\$1n\$1\$1r ]\$1
+ 2 erros de validação detectados: o valor em 'name.familyName' não satisfez a restrição: o comprimento do membro deve ser maior ou igual a 1; o valor em 'name.familyName' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\$1\$1p\$1L\$1\$1\$1p\$1M\$1\$1\$1p\$1S\$1\$1\$1p\$1N\$1\$1\$1p\$1P\$1\$1\$1t\$1\$1n\$1\$1r ]\$1
+ 2 erros de validação detectados: o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve ter comprimento maior ou igual a 1; o valor em 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.manager.value' não satisfez a restrição: o membro deve satisfazer o padrão de expressão regular: [\$1\$1 p \$1L\$1\$1\$1 p \$1M\$1\$1\$1 p \$1S\$1\$1\$1 p \$1N\$1\$1\$1 p \$1P\$1\$1\$1 t\$1\$1n\$1\$1 r] \$1",
+ JSON inválido de RequestBody
+ Formato de arquivo inválido