Asignaciones de atributos para el directorio AWS Managed Microsoft AD - AWS IAM Identity Center
Atributos de directorio admitidosAtributos de Centro de identidades de IAM compatiblesAtributos de proveedores de identidad externos compatiblesAsignaciones predeterminadas

Asignaciones de atributos para el directorio AWS Managed Microsoft AD

Las asignaciones de atributos se utilizan para asignar los tipos de atributos que existen en Centro de identidades de IAM con atributos similares en sus fuentes de identidad externas, como Google Workspace, Microsoft Active Directory (AD) yOkta. Centro de identidades de IAM recupera los atributos de usuario de la fuente de identidad y los asigna a los atributos de usuario de Centro de identidades de IAM.

Centro de identidades de IAM rellena previamente un conjunto de atributos en la pestaña Asignaciones de atributos de la página de configuración de la aplicación si utiliza un proveedor de identidad externo (por ejemplo, Google Workspace, Okta o Ping). Centro de identidades de IAM utiliza estos atributos de usuario para rellenar las aserciones de SAML (como atributos de SAML) que se envían a la aplicación. Estos atributos de usuario se recuperan, a su vez, de su fuente de identidad. Para obtener más información, consulte Asignación de atributos de su aplicación con atributos de Centro de identidades de IAM. Estas asignaciones de atributos de usuario del Centro de identidades de IAM se pueden generar para las afirmaciones SAML 2.0 de sus aplicaciones. Cada aplicación determina la lista de atributos de SAML 2.0 que necesita para un inicio de sesión único correcto.

Centro de identidades de IAM también administra un conjunto de atributos en la sección Mapeos de atributos de la página de configuración de Active Directory si utiliza AD como fuente de identidad. Para obtener más información, consulte Asignación de los atributos de usuario entre Centro de identidades de IAM y Microsoft AD.

Atributos de directorio admitidos

En la siguiente tabla se proporciona la lista completa de los atributos del directorio AWS Managed Microsoft AD admitidos y que se pueden asignar a atributos de usuario de Centro de identidades de IAM.

Atributos admitidos en el directorio de Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Puede especificar cualquier combinación de atributos del directorio de Microsoft AD compatibles para asignarlos a un único atributo de Centro de identidades de IAM. Por ejemplo, puede elegir el atributo subject en la columna Atributo de usuario en Centro de identidades de IAM. A continuación, asígnelo a ${dir:displayname} o ${dir:lastname}${dir:firstname }, a uno de los atributos admitidos o a una combinación arbitraria de atributos admitidos. Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario en Centro de identidades de IAM, consulte Asignaciones predeterminadas.

aviso

Algunos atributos de Centro de identidades de IAM no se pueden modificar porque son inmutables y se asignan de forma predeterminada a atributos de directorio específicos de Microsoft AD.

Por ejemplo, el “nombre de usuario” es un atributo obligatorio en el Centro de identidades de IAM. Si asigna “nombre de usuario” a un atributo del directorio de AD con un valor vacío, el Centro de identidades de IAM considerará el valor windowsUpn como el valor predeterminado de “nombre de usuario”. Si desea cambiar la asignación de atributos de “nombre de usuario” de la asignación actual, confirme que los flujos del Centro de identidades de IAM que dependen del “nombre de usuario” sigan funcionando según lo previsto antes de realizar el cambio.

Si utiliza las acciones de la API ListUsers o ListGroups, o los comandos de la CLI list-users y list-groups de AWS para asignar a los usuarios y grupos el acceso a las aplicaciones y Cuentas de AWS, debe especificar el valor AttributeValue como FQDN. Este valor debe tener el siguiente formato: usuario@ejemplo.com. En el siguiente ejemplo, AttributeValue se configura como janedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Atributos de Centro de identidades de IAM compatibles

En la siguiente tabla se proporciona la lista completa de los atributos de Centro de identidades de IAM admitidos y que se pueden asignar a atributos de usuario del directorio AWS Managed Microsoft AD. Posteriormente, cuando configure las asignaciones de los atributos de la aplicación podrá usar estos mismos atributos de Centro de identidades de IAM para asignarlos con los atributos reales utilizados por dicha aplicación.

Atributos compatibles en Centro de identidades de IAM
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Atributos de proveedores de identidad externos compatibles

En la siguiente tabla se enumeran todos los atributos del proveedor de identidades (IdP) externo que se admiten y que se pueden asignar a los atributos que se pueden utilizar al configurar Atributos para controlar el acceso en Centro de identidades de IAM. Al usar aserciones de SAML, puede usar cualquier atributo que admita su IdP.

Atributos compatibles en su IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Asignaciones predeterminadas

En la tabla siguiente se muestran las asignaciones predeterminadas de los atributos de usuario de Centro de identidades de IAM a los atributos de usuario del directorio AWS Managed Microsoft AD. Centro de identidades de IAM solo admite la lista de atributos de la columna Atributo de usuario en Centro de identidades de IAM.

nota

Si no tiene ninguna asignación para sus usuarios y grupos en Centro de identidades de IAM cuando habilite la sincronización de AD configurable, se utilizan las asignaciones predeterminadas de la siguiente tabla. Para obtener información acerca de cómo personalizar estas asignaciones, consulte Configuración de las asignaciones de atributos para su sincronización.

Atributo de usuario en Centro de identidades de IAM Se asigna a este atributo en el directorio de Microsoft AD
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* El atributo de correo electrónico de Centro de identidades de IAM debe ser único en el directorio. De lo contrario, el proceso de inicio de sesión en JIT podría fallar.

Puede cambiar las asignaciones predeterminadas o agregar más atributos a la aserción de SAML 2.0 en función de sus requisitos. Por ejemplo, supongamos que su aplicación requiere el correo electrónico del usuario en el atributo User.Email de SAML 2.0. Además, suponga que las direcciones de correo electrónico se almacenan en el atributo de windowsUpn del directorio de Microsoft AD. Para lograr llevar a cabo esta asignación, es necesario que realice cambios en los siguientes dos lugares en la consola de Centro de identidades de IAM:

  1. En la página Directory (Directorio), en la sección Attribute mappings (Asignaciones de atributos), debería asignar el atributo de usuario email al atributo ${dir:windowsUpn} (en la columna Maps to this attribute in your directory [Se asigna a este atributo en su directorio]).

  2. En la página Aplicaciones, elija la aplicación de la tabla. Elija la pestaña Asignación de atributos. A continuación, asigne el atributo de User.Email al atributo ${user:email} (en la columna Asignar a este valor de cadena o atributo de usuario en Centro de identidades de IAM).

Tenga en cuenta que debe proporcionar cada atributo de directorio siguiendo el formato ${dir:AttributeName}. Por ejemplo, el atributo firstname en su directorio de Microsoft AD pasará a ser ${dir:firstname}. Es importante que cada atributo de directorio tenga asignado un valor real. Los atributos que no tengan un valor detrás de ${dir: causarán problemas de inicio de sesión del usuario.