如何使用 AWS SSO SCIM API 检索特定用户的组?
How to retrieve groups for a specific user using the AWS SSO SCIM API?
我正在尝试使用 AWS SSO SCIM API 来检索特定用户的 AWS SSO 组。
查看文档https://docs.aws.amazon.com/singlesignon/latest/developerguide/listgroups.html
它提到了以下内容
- 要查看特定成员的群组信息,请调用带有成员过滤器的 ListGroup
- 如果您使用成员过滤器,则必须使用 id 过滤器(请参阅支持的过滤器组合)。
- 似乎 id 过滤器是组 ID,因为有这条注释:请注意,将 id 用作单独的过滤器虽然有效,但应避免使用,因为已经有可用的 getGroup 端点。
此外,在成员属性旁边的 https://docs.aws.amazon.com/singlesignon/latest/developerguide/limitations.html 处提到它受支持,但无法在响应中读取。
我一直在使用 API,但无论参数组合如何,都无法获取用户的任何组信息。
基于以上,我得出结论 API 不支持为用户检索组数据。你同意吗?
我无权访问 AWS SSO SCIM 端点,但通过查看文档,我怀疑这两种方法中的一种可能可行:
GET /users/id 并查看“groups”的值 - 这个似乎有问题,因为限制页面说它们支持用户资源的“groups”属性,但也有一个注释关于不支持 multi-valued 用户属性。您可能需要明确地将 ?attributes=groups 参数添加到您的 GET 中以请求返回该属性(如果它实际上受支持的话)。
GET /groups?filter=members[value eq "userId"] 或它的某些变体,具体取决于它们允许的语法。这未列为受支持,但如果它有效,我希望您会得到一个不包含“成员”属性的组响应列表 - 但返回的每个组都会匹配查询。
这两者都存在一定的不确定性,但根据可用信息,这些似乎是成功实现目标的两条最有可能的途径。如果这些都不起作用,则可能无法实现 - 但 AWS 的支持案例可能有助于确认。
按照@ZollnerdMSFT 的建议,我提出了 AWS 支持请求。 AWS 支持响应称 AWS SSO SCIM API 不支持检索与用户关联的组。他们已将此作为内部功能请求提交,但是无法提供有关何时实施的估计。
我正在尝试使用 AWS SSO SCIM API 来检索特定用户的 AWS SSO 组。
查看文档https://docs.aws.amazon.com/singlesignon/latest/developerguide/listgroups.html
它提到了以下内容
- 要查看特定成员的群组信息,请调用带有成员过滤器的 ListGroup
- 如果您使用成员过滤器,则必须使用 id 过滤器(请参阅支持的过滤器组合)。
- 似乎 id 过滤器是组 ID,因为有这条注释:请注意,将 id 用作单独的过滤器虽然有效,但应避免使用,因为已经有可用的 getGroup 端点。
此外,在成员属性旁边的 https://docs.aws.amazon.com/singlesignon/latest/developerguide/limitations.html 处提到它受支持,但无法在响应中读取。
我一直在使用 API,但无论参数组合如何,都无法获取用户的任何组信息。
基于以上,我得出结论 API 不支持为用户检索组数据。你同意吗?
我无权访问 AWS SSO SCIM 端点,但通过查看文档,我怀疑这两种方法中的一种可能可行:
GET /users/id 并查看“groups”的值 - 这个似乎有问题,因为限制页面说它们支持用户资源的“groups”属性,但也有一个注释关于不支持 multi-valued 用户属性。您可能需要明确地将 ?attributes=groups 参数添加到您的 GET 中以请求返回该属性(如果它实际上受支持的话)。
GET /groups?filter=members[value eq "userId"] 或它的某些变体,具体取决于它们允许的语法。这未列为受支持,但如果它有效,我希望您会得到一个不包含“成员”属性的组响应列表 - 但返回的每个组都会匹配查询。
这两者都存在一定的不确定性,但根据可用信息,这些似乎是成功实现目标的两条最有可能的途径。如果这些都不起作用,则可能无法实现 - 但 AWS 的支持案例可能有助于确认。
按照@ZollnerdMSFT 的建议,我提出了 AWS 支持请求。 AWS 支持响应称 AWS SSO SCIM API 不支持检索与用户关联的组。他们已将此作为内部功能请求提交,但是无法提供有关何时实施的估计。