了解 IAM Identity Center 登录事件 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 IAM Identity Center 登录事件

Amazon CloudTrail 记录所有 IAM Identity Center 身份源的成功和失败登录事件。除了该特定凭证验证请求的状态外,IAM Identity Centity Centity(AD 连接器和 Amazon Managed Microsoft AD)来源的身份包括每次提示用户解决特定凭证质询或因素时捕获的其他登录事件,以及该特定凭证验证请求的状态。只有在用户完成所有必需的凭证质询后,用户才会登录,这将导致记录 UserAuthentication 事件。

下表捕获了每个 IAM Identity Center 登录 CloudTrail 事件名称、其用途以及对不同身份源的适用性。

事件名称 活动目的 身份源适用性
CredentialChallenge 用于通知 IAM Identity Center 已请求用户解决特定的凭证质询并指定所需的 CredentialType(例如 PASSWORD 或 TOTP)。 本机 IAM Identity Center 用户 Amazon Managed Microsoft AD
CredentialVerification 用于通知用户已尝试解决特定 CredentialChallenge 请求并指定该凭证是成功还是失败。 本机 IAM Identity Center 用户 Amazon Managed Microsoft AD
UserAuthentication 用于通知用户面临的所有身份验证要求均已成功完成并且用户已成功登录。用户未能成功完成所需的凭证质询将导致不记录任何 UserAuthentication 事件。 所有身份源

下表记录了特定登录事件中包含的其他有用 CloudTrail 事件数据字段。

字段 活动目的 登录事件的适用性 示例值
AuthWorkflowID 用于关联整个登录序列中发出的所有事件。对于每次用户登录,IAM Identity Center 可能会发出多个事件。 CredentialChallenge, CredentialVerification, UserAuthentication “AuthWorkflowID”:“9de74b32-a01-a01-a01-a01-a01-a01-a01-a01-a01-a01-a01-a01-a01-a01-
CredentialType 用于指定受到询问的凭证或因素。UserAuthentication 事件将包括在用户登录序列中成功验证的所有 CredentialType 值。 CredentialChallenge, CredentialVerification, UserAuthentication CredentialType“: “密码” 或” “: “PASSWORDCredentialType,TOTP”(可能的值包括:PASSWORD、TOTP、WEBAUTHN、EXTOTP、EMAIL_OTP、EMAIL_OTP)
DeviceEnrollmentRequired 用于指定用户需要在登录期间注册 MFA 设备,并且用户已成功完成该请求。 UserAuthentication “DeviceEnrollmentRequired“: “没错”
LoginTo 用于指定成功登录序列后的重定向位置。 UserAuthentication "LoginTo": "https://mydirectory.awsapps.com/start/....."
CloudTrail IAM Identity Center 登录流程中的事件

下图描述了登录流程和登录引发 CloudTrail 的事件

登录流程和登录引发 CloudTrail 的事件。

该图显示了密码登录流程和联合登录流程。

密码登录流程由步骤 1-8 组成,演示了用户名和密码登录过程中的步骤。IAM Identity Center 设置PASSWORD为 “”,IAM Identity Center 将经历证书质询响应周期,根据userIdentity.additionalEventData.CredentialType需要重试。

步骤数取决于登录类型和是否存在多因素身份验证 (MFA)。初始过程会导致三到五个 CloudTrail 事件,并以成功身份验证的序列UserAuthentication结束。密码身份验证尝试失败会导致其他 CloudTrail 事件,因为 IAM Identity Center 会重新发布CredentialChallenge常规身份验证或 MFA(如果启用)身份验证。

密码登录流程还包括使用 CreateUser API 调用新创建的 IAM Identity Center 用户使用一次性密码 (OTP) 登录的情况。此场景中的凭证类型为 “EMAIL_OTP”。

由步骤 1a、2a 和 8 组成的联合登录流程演示了联合身份验证过程中的主要步骤,其中 SAML 断言由身份提供商提供,由 IAM Id entity Center 验证,如果成功,则生成。UserAuthenticationIAM Identity Center 不会在步骤 3 — 7 中调用内部 MFA 身份验证序列,因为外部联合身份提供商负责所有用户凭证身份验证。