本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 了解 IAM Identity Center 登录事件 Amazon CloudTrail 记录所有 IAM Identity Center 身份源的成功和失败登录事件。IAM Identity Center 和 Active Directory(AD Connector 和 Amazon Managed Microsoft AD)来源的身份除了该特定凭证验证请求的状态外,还包括每次提示用户解决特定凭证问题或因素时捕获的其他登录事件。只有在用户完成所有必需的凭证质询后,用户才会登录,这将导致记录 `UserAuthentication` 事件。 下表记录了每个 IAM Identity Center 登录 CloudTrail 事件的名称、其目的以及对不同身份源的适用性。 | 事件名称 | 活动目的 | 身份源适用性 | | --- | --- | --- | | CredentialChallenge | 用于通知 IAM Identity Center 已请求用户解决特定的凭证质询并指定所需的 CredentialType(例如 PASSWORD 或 TOTP)。 | 原生 IAM 身份中心用户、AD Connector 和 Amazon Managed Microsoft AD | | CredentialVerification | 用于通知用户已尝试解决特定 CredentialChallenge 请求并指定该凭证是成功还是失败。 | 原生 IAM 身份中心用户、AD Connector 和 Amazon Managed Microsoft AD | | UserAuthentication | 用于通知用户面临的所有身份验证要求均已成功完成并且用户已成功登录。用户未能成功完成所需的凭证质询将导致不记录任何 UserAuthentication 事件。 | 所有身份源 | 下表捕获了特定登录事件中包含的其他有用 CloudTrail 事件数据字段。 | 字段 | 活动目的 | 登录事件的适用性 | 示例值 | | --- | --- | --- | --- | | AuthWorkflowID | 用于关联整个登录序列中发出的所有事件。对于每次用户登录,IAM Identity Center 可能会发出多个事件。 | CredentialChallenge, CredentialVerification, UserAuthentication | “AuthWorkflowID”:“9de74b32-8362-4a01-a524-de21df59fd83” | | CredentialType | 用于指定受到询问的凭证或因素。UserAuthentication 事件将包括在用户登录序列中成功验证的所有 CredentialType 值。 | CredentialChallenge, CredentialVerification, UserAuthentication | CredentialType“: “密码” 或” “: “密码,TOTP”(可能的值包括:密码、TOTP、WEBAUTHN、EXTERNAL\$1IDP、RESYNC\$1TOTP、EMAIL\$1OTP、EMAIL\$1OTP)CredentialType | | DeviceEnrollmentRequired | 用于指定用户需要在登录期间注册 MFA 设备,并且用户已成功完成该请求。 | UserAuthentication | “DeviceEnrollmentRequired“: “没错” | | LoginTo | 用于指定成功登录序列后的重定向位置。 | UserAuthentication | "LoginTo": "https://mydirectory.awsapps.com/start/....." | **CloudTrail IAM 身份中心登录流程中的事件** 下图描述了登录流程和登录引发 CloudTrail 的事件。 ![\[登录流程和登录引发 CloudTrail 的事件。\]](http://docs.amazonaws.cn/singlesignon/latest/userguide/images/cloudtrail-events-in-iam-identity-center-sign-in-flows.png) 该图显示了一个**密码登录**流程和一个**联合登录流程**。 **密码登录**流程(包括步骤 1–8)展示了用户名和密码登录过程中的步骤。IAM Identity Center 将 `userIdentity.additionalEventData.CredentialType` 设置为“`PASSWORD`”,并执行凭据质询-响应周期,必要时进行重试。 步骤数量取决于[登录类型和多重身份验证(MFA)的启用状态](enable-mfa.md)。初始过程会导致三到五个 CloudTrail 事件,并以成功身份验证的序列`UserAuthentication`结束。密码身份验证尝试失败会导致其他 CloudTrail 事件,因为 IAM Identity Center 会重新发布`CredentialChallenge`常规身份验证或 MFA(如果启用)身份验证。 密码登录流程还包括使用 `CreateUser` API 调用新创建的 IAM Identity Center 用户使用一次性密码(OTP)登录的场景。此场景中的凭证类型是“`EMAIL_OTP`”。 **联合登录流程**(包括步骤 1a, 2a 和 8)展示了联合身份验证过程中的主要步骤,其中[身份提供者提供 SAML 断言](scim-profile-saml.md),由 IAM Identity Center 进行验证,如果成功,则产生 `UserAuthentication`。IAM Identity Center 不会调用步骤 3 – 7 中的内部 MFA 身份验证序列,因为外部联合身份提供者负责所有用户凭证身份验证。