本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 登录事件 CloudTrail 中的用户名 IAM Identity Center 在每次 IAM Identity Center 用户成功登录时,在 `additionalEventData` 元素下发出 `UserName` 字段一次。以下列表描述了范围内的两种登录事件,以及这些事件发生的条件。当用户登录时,只有一个条件可能为真。 + `CredentialChallenge` + 何时`CredentialType`为 “`PASSWORD`” — 适用于使用 Amazon Directory Service 或进行密码身份验证 IAM Identity Center 目录。 + Wh `CredentialType` e `EMAIL_OTP` n 为 “” — 仅适用于`CreateUser`通过 API 调用创建的用户首次尝试登录,并且该用户收到一次性密码即可使用该密码登录一次的情况。 IAM Identity Center 目录 + `UserAuthentication` + 当 `CredentialType` 为“`EXTERNAL_IDP`”时 - 适用于使用外部 IdP 进行的身份验证。 成功认证的 `UserName` 值如下: + 当身份源是外部 IdP 时,该值等于传入 SAML 断言中的 `nameID` 值。该值等于 IAM Identity Center 目录中的 `UserName` 字段。 + 当身份源为时 IAM Identity Center 目录,发出的值等于该目录中的`UserName`字段。 + 当身份源为时 Amazon Directory Service,发出的值等于用户在身份验证期间输入的用户名。例如,拥有用户名的用户可以使用`anyuser@company.com`、或进行身份验证 `anyuser``anyuser@company.com`,在每种情况下`company.com/anyuser`,输入的值都将 CloudTrail 分别发出。 **错误用户名尝试的安全屏蔽** `HIDDEN_DUE_TO_SECURITY_REASONS`当记录的事件是由于用户名输入不正确而导致的控制台登录失败时,该`UserName`字段包含字符串。 CloudTrail 在这种情况下,不会记录内容,因为文本可能包含敏感信息,如以下示例所述: + 用户不小心在用户名称字段中键入了密码。 + 用户意外键入了个人电子邮件账户的账户名称、银行登录标识符或某个其他私有 ID。 **提示** 我们建议您使用`userId`和`identityStoreArn`来识别 IAM Identity Center CloudTrail 事件背后的用户。如果您需要使用 `userName` 字段,可以使用每次成功登录时在 `additionalEventData` 元素下发出的 `userName`。 有关如何使用 `UserName` 字段的更多信息,请参阅 [关联同一用户会话内的用户事件在 IAM Identity Center 与外部目录之间关联用户](sso-cloudtrail-use-cases.md#correlating-users)。