我们正在围绕AWS的SSO设置一些自动化,但是遇到了问题。
有一个名为AWSLab的自定义用户属性,如果用户没有为此属性填充任何IAMRole值,那么我需要添加一个。
IAMRole字段将信息类型设置为文本和否。值在GSuite端设置为多值,因此我将其放入此API请求的数组中。
此外,当我对用户执行GET并查看附加的其他模式时,我看到名为type的键设置为work,所以我也将其包括在内。
以下是我在Google Apps脚本中的功能:
function check_user_access(){
var email = 'user@domain.com';
var role = [
'arn:aws:iam::123456789012:role/User',
'arn:aws:iam::123456789012:saml-provider/GoogleAppsProvider'
].join(',')
optArgs = {
projection: "full"
}
var user = AdminDirectory.Users.get(email, optArgs)
var schema = user.customSchemas
Logger.log("typeof(schema): %s", typeof(schema))
if(schema["AWSLab"]) {
Logger.log("schema[\"AWSLab\"] found on user '%s': %s", email, schema["AWSLab"])
} else {
Logger.log("schema[\"AWSLab\"] not found! Updating...")
Logger.log("schema before:\n\n%s\n", JSON.stringify(schema))
schema["AWSLab"] = { "IAMRole": [{ "type": "work", "value": role }] }
Logger.log("schema after:\n\n%s\n", JSON.stringify(schema))
AdminDirectory.Users.update(userFull, email) // line 35
}
}
此函数运行时,我看到此错误:
Invalid Input: [AWSLab] (line 35, file "Labs")
我现在在其中有一些额外的行,以输出一些详细信息以进行故障排除,但这并不能帮助我解决问题。
答案 0 :(得分:0)
事实证明,问题出在自定义架构的名称上。
在创建时,该架构具有不同的名称,然后在某个时候对其进行了编辑。
解决这个问题的关键是用一些伪数据填充用户的问题模式字段,然后使用GET通过API将用户退出并检查JSON。