本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 和 IAM Identity Center 設定 SAML Okta和 SCIM
<a name="gs-okta"></a>

您可以使用跨網域身分管理 (SCIM) 2.0 通訊協定，自動將使用者和群組資訊從 佈建或同步Okta到 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

若要在 中設定此連線Okta，您可以使用 IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載字符。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射Okta至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 與Okta您的帳戶之間的預期使用者屬性。

Okta 透過 SCIM 連線至 IAM Identity Center 時， 支援下列佈建功能：
+ 建立使用者 – 在 中指派給 IAM Identity Center 應用程式的使用者Okta會在 IAM Identity Center 中佈建。
+ 更新使用者屬性 – 在 中指派給 IAM Identity Center 應用程式之使用者的屬性變更Okta會在 IAM Identity Center 中更新。
+ 停用使用者 – 從 中的 IAM Identity Center 應用程式取消指派的使用者Okta會在 IAM Identity Center 中停用。
+ 群組推送 – 中的群組 Okta （及其成員） 會同步至 IAM Identity Center。
**注意**  
為了將 Okta和 IAM Identity Center 的管理開銷降至最低，建議您指派和*推送*群組，而不是個別使用者。
+ 匯入使用者 – 使用者可以從 IAM Identity Center 匯入 Okta。

**目標**

在本教學課程中，您將逐步解說如何設定與 IAM Identity Center 的 SAML Okta 連線。稍後，您將使用 SCIM Okta從 同步使用者。在此案例中，您會在 中管理所有使用者和群組Okta。使用者透過 Okta 入口網站登入。若要驗證一切設定正確，在完成設定步驟後，您將以 Okta使用者身分登入並驗證對 AWS 資源的存取。

透過 SAML Okta連線至 IAM Identity Center 時，支援下列功能：
+ IdP 啟動的 SAML 登入 – 使用者透過Okta入口網站登入並存取 IAM Identity Center。
+ SP 啟動的 SAML 登入 – 使用者存取 AWS 存取入口網站，這會重新導向他們透過Okta入口網站登入。

**注意**  
您可以註冊已安裝 [IAM Identity Center 應用程式](https://www.okta.com/integrations/aws-single-sign-on/)Okta的帳戶 Okta's ([免費試用](https://www.okta.com/free-trial/))。對於付費Okta產品，您可能需要確認您的Okta授權支援*生命週期管理*或類似功能，以啟用傳出佈建。設定從 Okta到 IAM Identity Center 的 SCIM 時，可能需要這些功能。  
如果您尚未啟用 IAM Identity Center，請參閱 [啟用 IAM Identity Center](enable-identity-center.md)。

## 考量事項
<a name="gs-okta-considerations"></a>
+ 在 Okta和 IAM Identity Center 之間設定 SCIM 佈建之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。
+ 每個Okta使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。
+ 每個Okta使用者每個資料屬性只有一個值，例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中有多個值，請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如，只能同步一個電話號碼屬性，因為預設的電話號碼屬性是「工作電話」，所以即使使用者的電話號碼是家用電話或行動電話，也請使用「工作電話」屬性來存放使用者的電話號碼。
+  Okta 搭配 IAM Identity Center 使用 時，IAM Identity Center 通常會在 中設定為應用程式Okta。這可讓您將 IAM Identity Center 的多個執行個體設定為多個應用程式，以支援在 的單一執行個體內存取多個 AWS OrganizationsOkta。
+ 不支援權利和角色屬性，且無法與 IAM Identity Center 同步。
+ 目前不支援對指派和Okta群組推送使用相同的群組。若要在 Okta和 IAM Identity Center 之間維持一致的群組成員資格，請建立個別的群組，並將其設定為將群組推送至 IAM Identity Center。
+ 如果您將 IAM Identity Center 複寫至其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式的存取，以及 AWS 帳戶 透過其他區域存取。如需包括先決條件的詳細資訊，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。Okta 特定步驟說明於 [Okta 用於存取其他區域的組態](#gs-okta-multi-region) 

## 步驟 1：Okta：從Okta您的帳戶取得 SAML 中繼資料
<a name="gs-okta-step1"></a>

1. 登入 Okta admin dashboard，展開**應用程式**，然後選取**應用程式**。

1. 在 **Applications** (應用程式) 頁面上，選擇 **Browse App Catalog** (瀏覽應用程式目錄)。

1. 在搜尋方塊中，輸入 ** AWS IAM Identity Center**，選取要新增 IAM Identity Center 應用程式的應用程式。

1. 選取**登入**索引標籤。

1. 在 **SAML 簽署憑證**下，選取**動作**，然後選取**檢視 IdP 中繼資料**。新的瀏覽器索引標籤隨即開啟，顯示 XML 檔案的文件樹狀目錄。選取從 `<md:EntityDescriptor>`到 的所有 XML，`</md:EntityDescriptor>`並將其複製到文字檔案。

1. 將文字檔案儲存為 `metadata.xml`。

保持Okta admin dashboard開啟狀態，您將在後續步驟中繼續使用此主控台。

## 步驟 2：IAM Identity Center：將 Okta設定為 IAM Identity Center 的身分來源
<a name="gs-okta-step2"></a>

1. 以具有管理權限的使用者身分開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，選擇**動作**，然後選擇**變更身分來源**。

1. 在**選擇身分來源**下，選取**外部身分提供者**，然後選擇**下一步**。

1. 在**設定外部身分提供者**下，執行下列動作：

   1. 在**服務提供者中繼資料**下，將下列項目複製到文字檔案，以便於存取：
      + **IAM Identity Center Assertion Consumer Service (ACS) URL** – 您可以選擇IPv4-only 和雙堆疊 ACS URLs。此外，如果您的 IAM Identity Center 執行個體在多個區域中啟用，則每個額外的區域都有自己的IPv4-only 和雙堆疊 ACS URLs。如需 ACS URLs 的詳細資訊，請參閱 [主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。
      + **IAM Identity Center 發行者 URL**

      您稍後在本教學課程中將需要這些值。

   1. 在**身分提供者中繼資料**下，於 **IdP SAML 中繼資料**下，選取**選擇檔案**，然後選取您在上一個步驟中建立`metadata.xml`的檔案。

   1. 選擇**下一步**。

1. 在您閱讀免責聲明並準備好繼續之後，請輸入 **ACCEPT**。

1. 選擇**變更身分來源**。

   保持 AWS 主控台開啟，您將在下一個步驟中繼續使用此主控台。

1. 返回 Okta admin dashboard，然後選取 AWS IAM Identity Center 應用程式的**登入**索引標籤，然後選取**編輯**。

1. 在**進階登入設定**下，輸入下列項目：
   + 針對 **ACS URL**，輸入您為 **IAM Identity Center Assertion Consumer Service (ACS) URL 複製的值 (s)**。您可以使用主要區域的 ACS URL 做為預設 URL，以便在使用者從 啟動 Amazon Web Services 應用程式時重新導向至主要區域Okta。
   + （選用） 如果您將 IAM Identity Center 複寫到其他區域，您也可以在 中Okta為每個其他區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Okta。請務必授予使用者存取 中書籤應用程式的許可Okta。如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/create-a-bookmark-app)。如果您計劃稍後將 IAM Identity Center 複寫到其他區域，請造訪 [Okta 用於存取其他區域的組態](#gs-okta-multi-region) 以取得指引，了解如何在此初始設定後啟用其他區域的存取權。
   + 針對**發行者 URL**，輸入您為 **IAM Identity Center 發行者 URL** 複製的值
   +  對於**應用程式使用者名稱格式**，從功能表中選取其中一個選項。

     確保您選擇的值對每個使用者都是唯一的。在此教學課程中，選取 **Okta 使用者名稱**

1. 選擇**儲存**。

您現在可以將使用者從 佈建Okta至 IAM Identity Center。保持Okta admin dashboard開啟狀態，並返回 IAM Identity Center 主控台進行下一個步驟。

## 步驟 3：IAM Identity Center 和 Okta：佈建Okta使用者
<a name="gs-okta-step3"></a>

1. 在**設定**頁面上的 IAM Identity Center 主控台中，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製下列選項的每個值：

   1. **SCIM 端點** - 端點格式取決於您的組態：
      + IPv4：https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-4444-55555555*/scim/v2
      + 雙堆疊：https://scim.*us-east-2*.api.aws/*111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程Okta稍後輸入這些值來設定自動佈建。

1. 選擇**關閉**。

1. 返回 Okta admin dashboard並導覽至 IAM Identity Center 應用程式。

1. 在 **IAM Identity Center 應用程式**頁面上，選擇**佈建**索引標籤，然後在**設定**下的左側導覽中，選擇**整合**。

1. 選擇**編輯**，然後選取**啟用 API 整合**旁的核取方塊以啟用自動佈建。

1. Okta 使用您在此步驟中稍早複製 AWS IAM Identity Center 的 SCIM 佈建值來設定 ：

   1. 在**基本 URL** 欄位中，輸入 **SCIM 端點**值。

   1. 在 **API Token** 欄位中，輸入 **Access Token** 值。

1. 選擇**測試 API 登入資料**來驗證輸入的登入資料是否有效。

   訊息**AWS IAM Identity Center 已成功驗證！** 隨即顯示。

1. 選擇**儲存**。系統會將您移至**設定**區段，並選取**整合**。

1. 在**設定**下，選擇**至應用程式**，然後針對您要**啟用**的每個**佈建至應用程式**功能，選取啟用核取方塊。在此教學課程中，選取所有選項。

1. 選擇**儲存**。

您現在可以從 同步您的使用者Okta與 IAM Identity Center。

## 步驟 4：Okta：將來自 的使用者Okta與 IAM Identity Center 同步
<a name="gs-ok-step4"></a>

根據預設，不會將群組或使用者指派給您的 Okta IAM Identity Center 應用程式。佈建群組會佈建屬於群組成員的使用者。完成下列步驟，以與 同步群組和使用者 AWS IAM Identity Center。

1. 在 **Okta IAM Identity Center 應用程式**頁面中，選擇**指派**索引標籤。您可以將人員和群組指派給 IAM Identity Center 應用程式。

   1. 若要指派人員：
      + 在**指派**頁面中，選擇**指派**，然後選擇**指派給人員**。
      + 選擇您要存取 IAM Identity Center 應用程式Okta的使用者。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將使用者佈建至 IAM Identity Center 的程序。

   1. 若要指派群組：
      + 在**指派**頁面中，選擇**指派**，然後選擇**指派給群組**。
      + 選擇您想要存取 IAM Identity Center 應用程式的Okta群組。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將群組中的使用者佈建至 IAM Identity Center 的程序。
**注意**  
如果群組不存在於所有使用者記錄中，您可能需要指定群組的其他屬性。為群組指定的屬性會覆寫任何個別屬性值。

1. 選擇**推送群組**索引標籤。選擇您要與 IAM Identity Center 同步的Okta群組。選擇**儲存**。

   群組及其成員推送至 IAM Identity Center 後，群組狀態會變更為**作用中**。

1. 返回**指派**索引標籤。

1. 若要將個別Okta使用者新增至 IAM Identity Center，請使用下列步驟：

   1. 在**指派**頁面中，選擇**指派**，然後選擇**指派給人員**。

   1. 選擇您要存取 IAM Identity Center 應用程式Okta的使用者。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將個別使用者佈建至 IAM Identity Center 的程序。
**注意**  
您也可以從 **的應用程式**頁面，將使用者和群組指派給 AWS IAM Identity Center 應用程式Okta admin dashboard。若要這樣做，請選取**設定**圖示，然後選擇**指派給使用者**或**指派給群組**，然後指定使用者或群組。

1. 返回 IAM Identity Center 主控台。在左側導覽中，選取**使用者**，您應該會看到使用者填入Okta的使用者清單。

**恭喜您！**  
您已成功在 Okta和 之間設定 SAML 連線， AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 **IAM Identity Center** 中的帳戶和應用程式。在本教學課程中，在下一個步驟中，我們將其中一個使用者授予管理帳戶的管理許可，以指定為 IAM Identity Center 管理員。

## 傳遞存取控制的屬性 - *選用*
<a name="okta-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 將存取權指派給 AWS 帳戶
<a name="gs-okta-acct-access"></a>

下列步驟僅需要授予 AWS 帳戶 的存取權。授予 AWS 應用程式存取權不需要這些步驟。

**注意**  
若要完成此步驟，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

### 步驟 1：IAM Identity Center：授予Okta使用者帳戶存取權
<a name="gs-okta-step5"></a>

1. 在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇將執行管理員任務功能的使用者。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**，選擇**建立許可集**以開啟新索引標籤，引導您完成建立許可集所涉及的三個子步驟。

      1. 對於**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 對於**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 *AdministratorAccess* 的許可集，並將工作階段持續時間設定為一小時。

      1. 針對**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上，會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      在**許可集**區域中，選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 對於**步驟 3：檢閱並提交**，檢閱選取的使用者和許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建並套用更新的許可集。當使用者登入時，他們可以選擇 *AdministratorAccess* 角色。

### 步驟 2：Okta：確認Okta使用者存取 AWS 資源
<a name="w2aac15c23c33b9"></a>

1. 使用測試帳戶登入 Okta dashboard。

1. 在**我的應用程式**下，選取 AWS IAM Identity Center 圖示。

1. 您應該會看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的 清單。在本教學課程中，您只使用單一帳戶，因此展開圖示只會顯示一個帳戶。

1. 選取帳戶以顯示使用者可用的許可集。在本教學課程中，您已建立 **AdministratorAccess** 許可集。

1. 許可集旁邊是該許可集可用存取類型的連結。當您建立許可集時，您會指定對 AWS 管理主控台 和 程式設計存取的存取權。選取**管理主控台**以開啟 AWS 管理主控台。

1. 使用者已登入 AWS 管理主控台。

您也可以使用 AWS 存取入口網站。這會將您重新導向至透過Okta入口網站登入，然後再帶您前往 AWS 存取入口網站。此路徑遵循 SP 起始的 SAML 登入流程。

## Okta 存取 IAM Identity Center 其他區域的組態 - 選用
<a name="gs-okta-multi-region"></a>

如果您將 IAM Identity Center 複寫至其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式的存取，以及 AWS 帳戶 透過其他區域存取。下列步驟會引導您完成程序。如需有關此主題的詳細資訊，包括先決條件，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

1. 從 IAM Identity Center 主控台擷取其他區域的 ACS URLs，如 中所述[主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。

1. 在Okta管理員儀表板的導覽窗格中，選擇**應用程式**，然後在展開的清單中再次選擇**應用程式**。

1. 選擇 **AWS IAM Identity Center** 應用程式。

1. 選擇 **Sign On** (登入) 標籤。

1. 在**進階登入設定****和其他可請求URLs** 下，為每個額外區域的 ACS URL 選擇**新增另一個** URL，然後將 ACS URL 貼到文字欄位中。

1. 新增 ACS URLs 完成後，請儲存**AWS IAM Identity Center**應用程式。

1. 您可以在 中Okta為每個額外區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Okta。請務必授予使用者存取 中書籤應用程式的許可Okta。如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/create-a-bookmark-app)。

1. 確認您可以在每個額外的區域中登入 AWS 存取入口網站。導覽至[AWS 存取入口網站 URLs](multi-region-workforce-access.md#portal-endpoints)或從 啟動書籤應用程式Okta。

## 後續步驟
<a name="gs-okta-next-steps"></a>

現在您已Okta在 IAM Identity Center 中將 設定為身分提供者和佈建使用者，您可以：
+ 授予 的存取權 AWS 帳戶，請參閱 [將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
+ 授予雲端應用程式的存取權，請參閱 [在 IAM Identity Center 主控台中指派使用者對應用程式的存取權](assignuserstoapp.md)。
+ 根據任務函數設定許可，請參閱[建立許可集](howtocreatepermissionset.md)。

## 疑難排解
<a name="gs-okta-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 故障診斷Okta，請參閱下列章節：
+ [重新佈建從 IAM Identity Center 刪除的使用者和群組](#reprovisioning-deleted-users-groups)
+ [中的自動佈建錯誤 Okta](#okta-auto-provisioning-error)
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ [其他資源](#gs-okta-troubleshooting-resources)

### 重新佈建從 IAM Identity Center 刪除的使用者和群組
<a name="reprovisioning-deleted-users-groups"></a>
+ 如果您在 中嘗試變更曾同步的使用者或群組，然後從 IAM Identity Center 刪除Okta，您可能會在 Okta主控台中收到下列錯誤訊息：
  + 自動將使用者 *Jane Doe* 推送至應用程式 AWS IAM Identity Center 失敗：嘗試推送 *jane\$1doe@example.com* 的設定檔更新時發生錯誤：未傳回使用者 *xxxxx-xxxxxx-xxxxx-xxxxxxx* 
  + 連結的群組遺失 AWS IAM Identity Center。變更連結的群組以繼續推送群組成員資格。
+ 您也可以在 Okta的 Systems Logs 中，針對同步和刪除的 IAM Identity Center 使用者或群組收到下列錯誤訊息：
  + Okta 錯誤：Eventfailed application.provision.user.push\$1profile：未傳回使用者 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + Okta 錯誤：application.provision.group\$1push.mapping.update.or.delete.failed.with.error：缺少連結的群組 AWS IAM Identity Center。變更連結的群組以繼續推送群組成員資格。

**警告**  
如果您已使用 SCIM 同步和 IAM Identity Center，則應從 刪除使用者Okta和群組，Okta而不是從 IAM Identity Center 刪除。

**對已刪除的 IAM Identity Center 使用者進行故障診斷**  
若要解決已刪除 IAM Identity Center 使用者的此問題，必須從 刪除使用者Okta。如有必要，這些使用者也需要在 中重新建立Okta。在 中重新建立使用者時Okta，也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除使用者的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)。

**注意**  
如果您需要移除Okta使用者對 IAM Identity Center 的存取權，您應該先將其從群組推送中移除，然後在 中移除其指派群組Okta。這可確保從 IAM Identity Center 中的關聯群組成員資格中移除使用者。如需群組推送疑難排解的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

**對已刪除的 IAM Identity Center 群組進行故障診斷**  
若要解決已刪除 IAM Identity Center 群組的問題，必須從 Okta 刪除該群組。如有必要，這些群組也需要使用群組推送在 Okta 中重新建立。在 Okta 中重新建立使用者時，也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除群組的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

### 中的自動佈建錯誤 Okta
<a name="okta-auto-provisioning-error"></a>

如果您在 中收到下列錯誤訊息Okta：

使用者 Jane Doe 至應用程式的自動佈建 AWS IAM Identity Center 失敗：找不到相符的使用者

如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)。

### 其他資源
<a name="gs-okta-troubleshooting-resources"></a>
+ 如需一般 SCIM 疑難排解秘訣，請參閱 [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援