Solução de problemas do IAM Identity Center - AWS IAM Identity Center
Problemas ao criar uma instância de conta do IAM Identity CenterVocê recebe um erro ao tentar visualizar a lista de aplicativos em nuvem que estão pré-configurados para funcionar com o IAM Identity CenterProblemas relacionados ao conteúdo das SAML afirmações criadas pelo IAM Identity CenterUsuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor externo SCIMErro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externoOs usuários não conseguem fazer login quando o nome de usuário está no UPN formatoRecebo o erro “Não é possível realizar a operação na função protegida” ao modificar uma função IAMOs usuários do diretório não podem redefinir suas senhasMeu usuário é referenciado em um conjunto de permissões, mas não consegue acessar as contas ou aplicativos atribuídosNão consigo configurar corretamente minha aplicação do catálogo de aplicaçõesErro “Ocorreu um erro inesperado” quando um usuário tenta fazer login usando um provedor de identidades externoErro “Falha na ativação dos atributos do controle de acesso”Recebo a mensagem “Navegador não suportado” quando tento registrar um dispositivo para MFAO grupo “Usuários do Domínio” do Active Directory não é sincronizado corretamente com o IAM Identity CenterErro de MFA credenciais inválidasRecebo a mensagem “Ocorreu um erro inesperado” quando tento me registrar ou entrar usando um aplicativo autenticadorEu recebo um erro “Não é você, somos nós” ao tentar entrar no Identity Center IAMMeus usuários não estão recebendo e-mails do IAM Identity CenterErro: você não consegue delete/modify/remove/assign acessar os conjuntos de permissões provisionados na conta de gerenciamentoErro: token de sessão não encontrado ou inválido

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do IAM Identity Center

O seguinte pode ajudá-lo a solucionar alguns problemas comuns que você pode encontrar ao configurar ou usar o console do IAM Identity Center.

Problemas ao criar uma instância de conta do IAM Identity Center

Várias restrições podem ser aplicadas ao criar uma instância de conta do IAM Identity Center. Se você não conseguir criar uma instância de conta por meio do console do IAM Identity Center ou da experiência de configuração de um aplicativo AWS gerenciado compatível, verifique os seguintes casos de uso:

  • Marque outra Regiões da AWS Conta da AWS na qual você está tentando criar a instância da conta. Você está limitado a uma instância do IAM Identity Center por Conta da AWS. Para habilitar o aplicativo, alterne para a Região da AWS com a instância do IAM Identity Center ou alterne para uma conta sem uma instância do IAM Identity Center.

  • Se sua organização ativou o IAM Identity Center antes de 14 de setembro de 2023, talvez seu administrador precise optar pela criação da instância da conta. Trabalhe com seu administrador para habilitar a criação de instâncias de conta a partir do console do IAM Identity Center na conta de gerenciamento.

  • Seu administrador pode ter criado uma Política de Controle de Serviços para limitar a criação de instâncias de conta do IAM Identity Center. Peça ao administrador para adicionar sua conta à lista de permissões.

Você recebe um erro ao tentar visualizar a lista de aplicativos em nuvem que estão pré-configurados para funcionar com o IAM Identity Center

O erro a seguir ocorre quando você tem uma política que permitesso:ListApplications, mas não outra Central de IAM IdentidadesAPIs. Atualize a política para resolver esse erro.

A ListApplications permissão autoriza váriosAPIs:

  • ListApplicationsAPIA.

  • Um interno API semelhante ao ListApplicationProviders API usado no console do IAM Identity Center.

Para ajudar a resolver a duplicação, o interno API agora também autoriza o uso da ListApplicationProviders ação. Para permitir o público, ListApplications API mas negar o internoAPI, sua política deve incluir uma declaração negando a ListApplicationProviders ação:


      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]

Para permitir o interno, API mas negarListApplications, a política precisa permitir apenasListApplicationProviders. O ListApplications API é negado se não for explicitamente permitido.


      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]

Quando suas políticas forem atualizadas, entre em contato Suporte para remover essa medida proativa.

Problemas relacionados ao conteúdo das SAML afirmações criadas pelo IAM Identity Center

IAMO Identity Center fornece uma experiência de depuração baseada na web para as SAML afirmações criadas e enviadas pelo IAM Identity Center, incluindo atributos dentro dessas asserções, ao acessar Contas da AWS e SAML aplicativos do portal de acesso. AWS Para ver os detalhes de uma SAML afirmação gerada pelo IAM Identity Center, use as etapas a seguir.

  1. Faça login no portal de AWS acesso.

  2. Enquanto estiver conectado ao portal, mantenha pressionada a tecla Shift e, em seguida, escolha o bloco de aplicativos e solte a tecla Shift.

  3. Examine as informações na página intitulada You are now in administrator mode (Agora você está no modo de administrador). Para manter essas informações para futura referência, escolha Copiar XML e cole o conteúdo em outro lugar.

  4. Escolha Enviar para <application> para continuar. Essa opção envia a asserção ao provedor de serviços.

nota

Algumas configurações de navegador e sistemas operacionais podem não ser compatível com esse procedimento. Esse procedimento foi testado no Windows 10 usando os navegadores Firefox, Chrome e Edge.

Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor externo SCIM

Se seu provedor de identidade (IdP) estiver configurado para provisionar usuários no IAM Identity Center usando a SCIM sincronização, você poderá encontrar falhas de sincronização durante o processo de provisionamento de usuários. Isso pode indicar que a configuração do usuário em seu IdP não é compatível com os requisitos do IAM Identity Center. Quando isso acontece, o IAM Identity Center SCIM APIs retornará mensagens de erro que fornecem informações sobre a causa raiz do problema. Você pode encontrar essas mensagens de erro nos logs ou na interface de usuário do IdP. Ou então, você pode encontrar informações mais detalhadas sobre as falhas de provisionamento nos logs do AWS CloudTrail.

Para obter mais informações sobre as SCIM implementações do IAM Identity Center, incluindo as especificações dos parâmetros e operações necessários, opcionais e não suportados para objetos do usuário, consulte o Guia do desenvolvedor de SCIMimplementação do IAM Identity Center no Guia do SCIM desenvolvedor

A seguir, alguns motivos comuns desse erro:

  1. O objeto de usuário no IdP não tem o primeiro nome (dado), sobrenome (nome de família) e/ou nome de exibição.

    Mensagem de erro: “2 erros de validação detectados: o valor em 'name.givenName' falhou em satisfazer a restrição: o membro deve satisfazer o padrão de expressão regular: [\\ p {L}\\ p {M}\\ p {S}\\ p {N}\\ p {P}\\ t\\n\\ r] +; O valor em 'name.givenName' falhou em satisfazer a restrição: o membro deve ter comprimento maior ou igual a 1"

    1. Solução: adicione um nome (determinado), sobrenome (família) e nome de exibição para o objeto do usuário. Além disso, certifique-se de que os mapeamentos de SCIM provisionamento para objetos de usuário em seu IdP estejam configurados para enviar valores não vazios para todos esses atributos.

  2. Mais de um valor para um único atributo está sendo enviado para o usuário (também conhecido como “atributos de vários valores”). Por exemplo, o usuário pode ter um número de telefone comercial e residencial especificado no IdP, ou vários e-mails ou endereços físicos, e seu IdP está configurado para tentar sincronizar vários ou todos os valores desse atributo.

    Mensagem de erro: “O atributo da lista emails excede o limite permitido de 1"

    1. Opções de solução:

      1. Atualize seus mapeamentos de SCIM provisionamento para objetos de usuário em seu IdP para enviar somente um único valor para um determinado atributo. Por exemplo, configure um mapeamento que envie somente o número de telefone comercial de cada usuário.

      2. Se os atributos adicionais puderem ser removidos com segurança do objeto do usuário no IdP, você poderá remover os valores adicionais, deixando um ou zero valores definidos para esse atributo para o usuário.

      3. Se o atributo não for necessário para nenhuma ação em AWS, remova o mapeamento desse atributo dos mapeamentos de SCIM provisionamento para objetos de usuário em seu IdP.

  3. Seu IdP está tentando combinar os usuários no destino (Central de IAM Identidades, neste caso) com base em vários atributos. Como os nomes de usuário são garantidamente exclusivos em uma determinada instância do IAM Identity Center, você só precisa especificar username como o atributo usado para correspondência.

    1. Solução: certifique-se de que sua SCIM configuração em seu IdP esteja usando apenas um único atributo para correspondência com os usuários no IAM Identity Center. Por exemplo, mapear username ou userPrincipalName inserir o IdP no userName atributo in SCIM para provisionamento no IAM Identity Center será correto e suficiente para a maioria das implementações.

Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo

Se você tiver problemas de sincronização do IAM Identity Center ao provisionar usuários ou grupos em um provedor de identidade externo (IdP), isso pode ser devido ao fato de seus usuários ou grupos de IdP externo não terem valores de atributos exclusivos. Você pode receber as seguintes mensagens de erro no IdP externo:

Recusou-se a criar um novo, recurso duplicado

Você pode experimentar esse problema nos seguintes cenários:

  • Cenário 1

    • Você está usando atributos personalizados não exclusivos em seu IdP externo para atributos que devem ser exclusivos IAM no Identity Center. Os usuários ou grupos existentes do IAM Identity Center não conseguem sincronizar com seu IdP.

  • Cenário 2

    • Você tenta criar usuários que tenham atributos duplicados para atributos que devem ser exclusivos no IAM Identity Center.

      • Por exemplo, você cria ou tem um usuário existente do IAM Identity Center com os seguintes atributos:

        • Nome de usuário: Maria da Silva

        • Endereço de e-mail principal: jane_doe@example.com

      • Em seguida, você tenta criar outro usuário no IdP externo com os seguintes atributos:

        • Nome de usuário: Ricardo da Silva

        • Endereço de e-mail principal: jane_doe@example.com

          • O IdP externo tenta sincronizar e criar o usuário no IAM Identity Center. Porém, essas ações não são bem-sucedidas porque os dois usuários têm valores duplicados para um endereço de e-mail principal que deve ser exclusivo.

O nome de usuário, o endereço de e-mail principal e o ID externo devem ser exclusivos para que seus usuários externos do IdP sejam sincronizados com êxito com o Identity Center. IAM Da mesma forma, o nome do grupo deve ser exclusivo para que seus grupos externos de IdP sejam sincronizados com êxito com o Identity Center. IAM

A solução é revisar os atributos da sua fonte de identidades e garantir que sejam exclusivos.

Os usuários não conseguem fazer login quando o nome de usuário está no UPN formato

Talvez os usuários não consigam entrar no portal de AWS acesso com base no formato que usam para inserir seu nome de usuário na página de login. Na maioria das vezes, os usuários podem entrar no portal do usuário usando seu nome de usuário simples, seu nome de login de nível inferior (DOMAIN\UserName) ou seu nome de UPN login (). UserName@Corp.Example.com A exceção é quando o IAM Identity Center está usando um diretório conectado que foi ativado MFA e o modo de verificação foi definido como sensível ao contexto ou Sempre ativo. Nesse cenário, os usuários devem entrar com seu nome de login de nível inferior (DOMAIN\). UserName Para obter mais informações, consulte Autenticação multifator para usuários do Identity Center. Para obter informações gerais sobre os formatos de nome de usuário usados para entrar no Active Directory, consulte Formatos de nome de usuário no site de documentação da Microsoft.

Recebo o erro “Não é possível realizar a operação na função protegida” ao modificar uma função IAM

Ao analisar as IAM funções em uma conta, você pode notar que os nomes das funções começam com 'AWSReservedSSO_'. Essas são as funções que o serviço IAM Identity Center criou na conta e vieram da atribuição de um conjunto de permissões à conta. A tentativa de modificar essas funções de dentro do IAM console resultará no seguinte erro:

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

Essas funções só podem ser modificadas no console do Administrador do IAM Identity Center, que está na conta de gerenciamento do AWS Organizations. Depois de modificadas, você pode transferir as alterações para as contas da AWS às quais elas estão atribuídas.

Os usuários do diretório não podem redefinir suas senhas

Quando um usuário do diretório redefine sua senha usando a opção Esqueceu a senha? opção durante o login no portal de AWS acesso, sua nova senha deve seguir a política de senha padrão, conforme descrito em. Requisitos de senha ao gerenciar identidade no IAM Identity Center

Se um usuário digitar uma senha que esteja de acordo com a política e receber o erroWe couldn't update your password, verifique se a falha AWS CloudTrail foi registrada. Isso pode ser feito pesquisando no console do Histórico de Eventos ou CloudTrail usando o seguinte filtro:

"UpdatePassword"

Se a mensagem indicar o seguinte, talvez seja necessário entrar em contato com o suporte:

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

Outra causa possível desse problema está na convenção de nomenclatura que foi aplicada ao valor do nome de usuário. As convenções de nomenclatura devem seguir padrões específicos, como “sobrenome”. givenName'. No entanto, alguns nomes de usuário podem ser muito longos ou conter caracteres especiais, e isso pode fazer com que os caracteres sejam eliminados na API chamada, resultando em um erro. Talvez você queira tentar redefinir a senha com um usuário de teste da mesma maneira para verificar se esse é o caso.

Se o problema persistir, entre em contato com o AWS Support Center.

Meu usuário é referenciado em um conjunto de permissões, mas não consegue acessar as contas ou aplicativos atribuídos

Esse problema pode ocorrer se você estiver usando o System for Cross-domain Identity Management (SCIM) para provisionamento automático com um provedor de identidade externo. Especificamente, quando um usuário ou o grupo do qual o usuário era membro é excluído e recriado usando o mesmo nome de usuário (para usuários) ou nome (para grupos) no provedor de identidade, um novo identificador interno exclusivo é criado para o novo usuário ou grupo no IAM Identity Center. No entanto, o IAM Identity Center ainda tem uma referência ao identificador antigo em seu banco de dados de permissões, de forma que o nome do usuário ou grupo ainda apareça na interface do usuário, mas o acesso falhe. Isso ocorre porque o ID de usuário ou grupo subjacente ao qual a interface do usuário se refere não existe mais.

Para restaurar o Conta da AWS acesso nesse caso, você pode remover o acesso do usuário ou grupo antigo do Conta da AWS(s) em que ele foi originalmente atribuído e, em seguida, reatribuir o acesso ao usuário ou grupo. Isso atualiza o conjunto de permissões com o identificador correto para o novo usuário ou grupo. Da mesma forma, para restaurar o acesso ao aplicativo, você pode remover o acesso do usuário ou grupo da lista de usuários atribuídos para esse aplicativo e, em seguida, adicionar o usuário ou grupo novamente.

Você também pode verificar se a falha AWS CloudTrail foi registrada pesquisando seus CloudTrail registros em busca de eventos de SCIM sincronização que façam referência ao nome do usuário ou grupo em questão.

Não consigo configurar corretamente minha aplicação do catálogo de aplicações

Se você adicionou um aplicativo do catálogo de aplicativos no IAM Identity Center, saiba que cada provedor de serviços fornece sua própria documentação detalhada. Você pode acessar essas informações na guia Configuração do aplicativo no console do IAM Identity Center.

Se o problema estiver relacionado à configuração da confiança entre o aplicativo do provedor de serviços e o IAM Identity Center, verifique o manual de instruções para ver as etapas de solução de problemas.

Erro “Ocorreu um erro inesperado” quando um usuário tenta fazer login usando um provedor de identidades externo

Esse erro pode ocorrer por vários motivos, mas um motivo comum é a incompatibilidade entre as informações do usuário fornecidas na SAML solicitação e as informações do usuário no IAM Identity Center.

Para que um usuário do IAM Identity Center faça login com êxito ao usar um IdP externo como fonte de identidade, o seguinte deve ser verdadeiro:

  • O formato SAML NameID (configurado no seu provedor de identidade) deve ser 'email'

  • O valor NameID deve ser uma string formatada corretamente (RFC2822) (user@domain.com)

  • O valor NameID deve corresponder exatamente ao nome de usuário de um usuário existente no IAM Identity Center (não importa se o endereço de e-mail no IAM Identity Center corresponde ou não — a correspondência de entrada é baseada no nome de usuário)

  • A implementação do IAM Identity Center da federação SAML 2.0 suporta apenas 1 afirmação na SAML resposta entre o provedor de IAM identidade e o Identity Center. Ele não oferece suporte a SAML afirmações criptografadas.

  • As seguintes declarações se aplicam Atributos para controle de acesso se estiverem habilitadas em sua conta do IAM Identity Center:

    • O número de atributos mapeados na SAML solicitação deve ser 50 ou menos.

    • A SAML solicitação não deve conter atributos de vários valores.

    • A SAML solicitação não deve conter vários atributos com o mesmo nome.

    • O atributo não deve conter estruturado XML como valor.

    • O formato do nome deve ser um formato SAML especificado, não um formato genérico.

nota

IAMO Identity Center não realiza a criação “just in time” de usuários ou grupos para novos usuários ou grupos por meio de SAML federação. Isso significa que o usuário deve ser pré-criado no IAM Identity Center, manualmente ou por meio de provisionamento automático, para entrar no Identity Center. IAM

Esse erro também pode ocorrer quando o endpoint Assertion Consumer Service (ACS) configurado em seu provedor de identidade não corresponde ao ACS URL fornecido pela sua instância do IAM Identity Center. Certifique-se de que esses dois valores fazem uma correspondência exata.

Além disso, você pode solucionar ainda mais as falhas de login do provedor de identidade externo acessando AWS CloudTrail e filtrando o nome do evento. ExternalIdPDirectoryLogin

Erro “Falha na ativação dos atributos do controle de acesso”

Esse erro pode ocorrer se o usuário que está ativando ABAC não tiver as iam:UpdateAssumeRolePolicy permissões necessárias para habilitarAtributos para controle de acesso.

Recebo a mensagem “Navegador não suportado” quando tento registrar um dispositivo para MFA

WebAuthn atualmente é compatível com os navegadores Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari, bem como nas plataformas Windows 10 e Android. Alguns componentes do WebAuthn suporte podem ser variados, como o suporte ao autenticador de plataforma nos navegadores macOS e iOS. Se os usuários tentarem registrar WebAuthn dispositivos em um navegador ou plataforma incompatível, eles verão certas opções acinzentadas que não são suportadas ou receberão uma mensagem de erro informando que todos os métodos compatíveis não são suportados. Nesses casos, consulte FIDO2: Web Authentication (WebAuthn) para obter mais informações sobre o suporte a navegadores/plataformas. Para obter mais informações sobre o WebAuthn IAM Identity Center, consulteFIDO2 autenticadores.

O grupo “Usuários do Domínio” do Active Directory não é sincronizado corretamente com o IAM Identity Center

O grupo Usuários do domínio do Active Directory é o “grupo primário” padrão para objetos de usuário do AD. Os grupos primários do Active Directory e suas associações não podem ser lidos pelo IAM Identity Center. Ao atribuir acesso aos recursos ou aplicativos do IAM Identity Center, use grupos diferentes do grupo Usuários do Domínio (ou outros grupos atribuídos como grupos primários) para que a associação ao grupo seja refletida adequadamente no repositório de IAM identidades do Identity Center.

Erro de MFA credenciais inválidas

Esse erro pode ocorrer quando um usuário tenta entrar no IAM Identity Center usando uma conta de um provedor de identidade externo (por exemplo, Okta or Microsoft Entra ID) antes que sua conta seja totalmente provisionada para o IAM Identity Center usando o SCIM protocolo. Depois que a conta do usuário for provisionada para o IAM Identity Center, esse problema deverá ser resolvido. Confirme se a conta foi provisionada para o IAM Identity Center. Caso contrário, verifique os registros de provisionamento no provedor de identidades externo.

Recebo a mensagem “Ocorreu um erro inesperado” quando tento me registrar ou entrar usando um aplicativo autenticador

Os sistemas de senha de uso único (TOTP) baseados em tempo, como os usados pelo IAM Identity Center em combinação com aplicativos autenticadores baseados em código, dependem da sincronização de horário entre o cliente e o servidor. Certifique-se de que o dispositivo em que seu aplicativo autenticador está instalado esteja sincronizado corretamente com uma fonte de horário confiável ou defina manualmente a hora em seu dispositivo para corresponder a uma fonte confiável, como NIST (https://www.time.gov/) ou outros equivalentes locais/regionais.

Eu recebo um erro “Não é você, somos nós” ao tentar entrar no Identity Center IAM

Esse erro indica que há um problema de configuração com sua instância do IAM Identity Center ou com o provedor de identidade externo (IdP) que o IAM Identity Center está usando como fonte de identidade. Recomendamos que você verifique o seguinte:

  • Verifique as configurações de data e hora no dispositivo que você está usando para fazer login. Recomendamos que você ative a definição automática de data e hora. Se isso não estiver disponível, recomendamos sincronizar sua data e hora com um servidor conhecido do Network Time Protocol (NTP).

  • Verifique se o certificado do IdP carregado no IAM Identity Center é o mesmo fornecido pelo seu IdP. Você pode verificar o certificado no console do IAM Identity Center navegando até Configurações. Na guia Fonte de identidades, escolha Ação e depois Gerenciar autenticação. Se os certificados do IdP e do IAM Identity Center não corresponderem, importe um novo certificado para o IAM Identity Center.

  • Certifique-se de que o formato NameID no arquivo de metadados do provedor de identidades seja o seguinte:

    • urn:oasis:name:tc:SAML:1.1:nameid-format:emailAddress

  • Se você estiver usando o AD Connector AWS Directory Service como seu provedor de identidade, verifique se as credenciais da conta de serviço estão corretas e não expiraram. Consulte Update your AD Connector service account credentials in AWS Directory Service para obter mais informações.

Meus usuários não estão recebendo e-mails do IAM Identity Center

Todos os e-mails enviados pelo serviço IAM Identity Center virão do endereço no-reply@signin.aws ouno-reply@login.awsapps.com. Seu sistema de e-mail deve ser configurado para aceitar e-mails desses endereços de e-mail remetentes e não tratá-los como lixo eletrônico ou spam.

Erro: você não consegue delete/modify/remove/assign acessar os conjuntos de permissões provisionados na conta de gerenciamento

Essa mensagem indica que o atributo Administradores delegados foi habilitado e que a operação que você tentou realizar anteriormente só pode ser realizada com êxito por alguém que tenha as permissões da conta de gerenciamento do AWS Organizations. Para resolver esse problema, faça login como um usuário que tem essas permissões e tente executar a tarefa novamente, ou atribua essa tarefa a alguém que tenha as permissões corretas. Para obter mais informações, consulte Registre uma conta-membro.

Erro: token de sessão não encontrado ou inválido

Esse erro pode ocorrer quando um cliente, como um navegador da Web AWS Toolkit AWS CLI, ou tenta usar uma sessão revogada ou invalidada no lado do servidor. Para corrigir esse problema, volte à aplicação ou ao site do cliente e tente novamente, inclusive fazendo login novamente, se solicitado. Às vezes, isso pode exigir que você também cancele solicitações pendentes, como uma tentativa de conexão pendente de AWS Toolkit dentro do seuIDE.