Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Auditez et réconciliez les ressources provisionnées automatiquement
<a name="reconcile-auto-provisioning"></a>

SCIM vous permet de provisionner automatiquement des utilisateurs, des groupes et des adhésions à des groupes depuis votre source d'identité vers IAM Identity Center. Ce guide vous aide à vérifier et à réconcilier ces ressources afin de garantir une synchronisation précise.

## Pourquoi auditer vos ressources ?
<a name="reconcile-auto-provisioning-why-audit"></a>

Un audit régulier permet de garantir que vos contrôles d'accès restent précis et que votre fournisseur d'identité (IdP) reste correctement synchronisé avec IAM Identity Center. Cela est particulièrement important pour la conformité en matière de sécurité et la gestion des accès.

Ressources que vous pouvez auditer :
+ Utilisateurs
+ Groupes
+ Adhésions à des groupes

 Vous pouvez utiliser les [commandes AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) pour effectuer l'audit et le rapprochement. Les exemples suivants utilisent des AWS CLI commandes. Pour les alternatives à l'API, reportez-vous aux [opérations correspondantes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dans la *référence de l'API Identity Store*. 

## Comment auditer les ressources
<a name="how-to-audit-resources"></a>

Voici des exemples expliquant comment auditer ces ressources à l'aide de AWS CLI commandes.

Avant de commencer, assurez-vous de disposer des éléments suivants :
+ Accès administrateur à IAM Identity Center.
+ AWS CLI installé et configuré. Pour plus d'informations, consultez le [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorisations IAM requises pour les commandes Identity Store.

### Étape 1 : Répertorier les ressources actuelles
<a name="list-current-resources"></a>

Vous pouvez consulter vos ressources actuelles à l'aide du AWS CLI.

**Note**  
 Lorsque vous utilisez le AWS CLI, la pagination est gérée automatiquement, sauf indication contraire de votre part. `--no-paginate` Si vous appelez directement l'API (par exemple, à l'aide d'un SDK ou d'un script personnalisé), gérez-le `NextToken` dans la réponse. Cela vous permet de récupérer tous les résultats sur plusieurs pages. 

**Example pour les utilisateurs**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example pour les groupes**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example pour les adhésions à des groupes**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### Étape 2 : comparer avec votre source d'identité
<a name="compare-idenity-source"></a>

Comparez les ressources répertoriées avec votre source d'identité pour identifier les éventuelles incohérences, telles que :
+ Ressources manquantes qui devraient être provisionnées dans IAM Identity Center.
+ Ressources supplémentaires qui devraient être supprimées d'IAM Identity Center.

**Example pour les utilisateurs**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example pour les groupes**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example pour les adhésions à des groupes**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## Considérations
<a name="audit-resources-consideratons"></a>
+ Les commandes sont soumises à des [quotas de service et à une limitation des API](limits.md#ssothrottlelimits).
+ Lorsque vous constatez de nombreuses différences lors du rapprochement, apportez de petites modifications graduelles à AWS Identity Store. Cela vous permet d'éviter les erreurs qui affectent plusieurs utilisateurs.
+ La synchronisation SCIM peut annuler vos modifications manuelles. Vérifiez les paramètres de votre IdP pour comprendre ce comportement.