Attributzuordnungen für AWS Managed Microsoft AD das Verzeichnis - AWS IAM Identity Center
Unterstützte VerzeichnisattributeUnterstützte IAM-Identity-Center-AttributeUnterstützte externe IdentitätsanbieterattributeStandardzuordnungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Attributzuordnungen für AWS Managed Microsoft AD das Verzeichnis

Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center vorhanden sind, mit ähnlichen Attributen in einem - AWS Managed Microsoft AD Verzeichnis zuzuordnen. IAM Identity Center ruft Benutzerattribute aus Ihrem Microsoft-AD-Verzeichnis ab und ordnet sie IAM-Identity-Center-Benutzerattributen zu. Diese IAM-Identity-Center-Benutzerattributzuordnungen werden auch zum Generieren von SAML-2.0-Assertionen für Ihre Anwendungen verwendet. Jede Anwendung bestimmt die Liste der SAML-2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt.

IAM Identity Center füllt eine Reihe von Attributen für Sie auf der Registerkarte Attributzuordnungen auf der Konfigurationsseite Ihrer Anwendung aus. IAM Identity Center verwendet diese Benutzerattribute, um SAML-Assertions (als SAML-Attribute) auszufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum von Ihrem Mircosoft AD-Verzeichnis abgerufen. Weitere Informationen finden Sie unter Ordnen Sie Attribute in Ihrer Anwendung den IAM Identity Center-Attributen zu.

IAM Identity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt Attributzuordnungen Ihrer Verzeichniskonfigurationsseite. Weitere Informationen finden Sie unter Zuordnen von Attributen in IAM Identity Center zu Attributen in Ihrem AWS Managed Microsoft AD Verzeichnis.

Unterstützte Verzeichnisattribute

In der folgenden Tabelle sind alle unterstützten AWS Managed Microsoft AD Verzeichnisattribute aufgeführt, die Benutzerattributen in IAM Identity Center zugeordnet werden können.

Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Sie können eine beliebige Kombination unterstützter Microsoft AD-Verzeichnisattribute angeben, die einem einzelnen veränderbaren Attribut in IAM Identity Center zugeordnet werden sollen. Sie können beispielsweise das subject Attribut unter dem Benutzerattribut in der Spalte IAM Identity Center auswählen. Ordnen Sie sie dann entweder ${dir:displayname} ${dir:lastname}${dir:firstname } oder einem beliebigen unterstützten Attribut oder einer beliebigen Kombination unterstützter Attribute zu. Eine Liste der Standardzuordnungen für Benutzerattribute in IAM Identity Center finden Sie unter Standardzuordnungen.

Warnung

Bestimmte IAM-Identity-Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft-AD-Verzeichnisattributen zugeordnet sind.

Beispielsweise ist „Benutzername“ ein obligatorisches Attribut im IAM Identity Center. Wenn Sie einem AD-Verzeichnisattribut mit einem leeren Wert „Benutzername“ zuordnen, betrachtet IAM Identity Center den windowsUpn Wert als Standardwert für „Benutzername“. Wenn Sie die Attributzuordnung für „Benutzername“ aus Ihrer aktuellen Zuordnung ändern möchten, vergewissern Sie sich, dass IAM-Identity-Center-Flows mit Abhängigkeit von „Benutzername“ weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.

Wenn Sie die - ListUsers oder ListGroups-API-Aktionen oder die - list-users und list-groups AWS -CLI-Befehle verwenden, um Benutzern und Gruppen Zugriff auf AWS-Konten und auf Anwendungen zuzuweisen, müssen Sie den Wert für AttributeValue als FQDN angeben. Dieser Wert muss das folgende Format haben: user@example.com. Im folgenden Beispiel AttributeValue ist auf festgelegtjanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Unterstützte IAM-Identity-Center-Attribute

In der folgenden Tabelle sind alle unterstützten IAM-Identity-Center-Attribute aufgeführt, die Benutzerattributen in Ihrem AWS Managed Microsoft AD Verzeichnis zugeordnet werden können. Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM-Identity-Center-Attribute verwenden, um tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.

Unterstützte Attribute in IAM Identity Center
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Unterstützte externe Identitätsanbieterattribute

In der folgenden Tabelle sind alle unterstützten Attribute des externen Identitätsanbieters (IdP) aufgeführt, die Attributen zugeordnet werden können, die Sie bei der Konfiguration von Attribute für Zugriffskontrolle in IAM Identity Center verwenden können. Wenn Sie SAML-Assertionen verwenden, können Sie die Attribute verwenden, die Ihr IdP unterstützt.

Unterstützte Attribute in Ihrem IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Standardzuordnungen

In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem AWS Managed Microsoft AD Verzeichnis aufgeführt. IAM Identity Center unterstützt nur die Liste der Attribute im Benutzerattribut in der Spalte IAM Identity Center.

Anmerkung

Wenn Sie beim Aktivieren der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in der folgenden Tabelle verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter Konfigurieren von Attributzuordnungen für Ihre Synchronisierung.

Benutzerattribut in IAM Identity Center Zuordnung zu diesem Attribut im Microsoft AD-Verzeichnis
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein. Andernfalls könnte der JIT-Anmeldevorgang fehlschlagen.

Sie können die Standardzuordnungen ändern oder der SAML-2.0-Assertion je nach Ihren Anforderungen weitere Attribute hinzufügen. Angenommen, Ihre Anwendung benötigt die E-Mail des Benutzers im User.Email SAML-2.0-Attribut. Nehmen Sie außerdem an, dass E-Mail-Adressen im windowsUpn Attribut in Ihrem Microsoft-AD-Verzeichnis gespeichert sind. Um diese Zuordnung zu erreichen, müssen Sie Änderungen an den folgenden beiden Stellen der IAM-Identity-Center-Konsole vornehmen:

  1. Ordnen Sie auf der Seite Directory (Verzeichnis) im Bereich Attribute mappings (Attributzuordnungen) das Benutzerattribut email dem Attribut ${dir:windowsUpn} zu (in der Spalte Maps to this attribute in your directory (Zuordnung zum Attribut im Verzeichnis)).

  2. Wählen Sie auf der Seite Anwendungen die Anwendung aus der Tabelle aus. Wählen Sie die Registerkarte Attributzuordnungen aus. Ordnen Sie dann das User.Email Attribut dem ${user:email} Attribut zu (in der Spalte Zuordnungen zu diesem Zeichenfolgenwert oder Benutzerattribut in IAM Identity Center).

Beachten Sie, dass Sie jedes Verzeichnisattribut in der Form ${dir:AttributeName} angeben müssen. Das Attribut firstname in Ihrem Microsoft AD-Verzeichnis wird beispielsweise zu ${dir:firstname}. Es ist wichtig, dass jedem Verzeichnisattribut ein tatsächlicher Wert zugewiesen wird. Attribute, die nach ${dir: keinen Wert haben, verursachen Probleme bei der Benutzeranmeldung.