Mappages d'attributs pour AWS Managed Microsoft AD directory - AWS IAM Identity Center
Attributs de répertoire supportésAttributs IAM Identity Center pris en chargeAttributs du fournisseur d'identité externe pris en chargeMappages par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mappages d'attributs pour AWS Managed Microsoft AD directory

Les mappages d'attributs sont utilisés pour mapper les types d'attributs qui existent dans IAM Identity Center avec des attributs similaires dans un AWS Managed Microsoft AD annuaire. IAMIdentity Center extrait les attributs utilisateur de votre répertoire Microsoft AD et les associe aux attributs utilisateur IAM d'Identity Center. Ces mappages d'attributs utilisateur d'IAMIdentity Center sont également utilisés pour générer des assertions SAML 2.0 pour vos applications. Chaque application détermine la liste des attributs SAML 2.0 dont elle a besoin pour une authentification unique réussie.

IAMIdentity Center préremplit un ensemble d'attributs pour vous sous l'onglet Mappages d'attributs situé sur la page de configuration de votre application. IAMIdentity Center utilise ces attributs utilisateur pour renseigner SAML les assertions (sous forme d'SAMLattributs) envoyées à l'application. Ces attributs utilisateur sont ensuite extraits de votre annuaire Microsoft AD. Pour de plus amples informations, veuillez consulter Associez les attributs de votre application aux attributs IAM d'Identity Center.

IAMIdentity Center gère également un ensemble d'attributs pour vous dans la section Mappages d'attributs de la page de configuration de votre annuaire. Pour de plus amples informations, veuillez consulter Mappage des attributs utilisateur entre IAM Identity Center et le répertoire Microsoft AD.

Attributs de répertoire supportés

Le tableau suivant répertorie tous AWS Managed Microsoft AD attributs d'annuaire pris en charge et pouvant être mappés aux attributs utilisateur dans IAM Identity Center.

Attributs pris en charge dans votre annuaire Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Vous pouvez spécifier n'importe quelle combinaison d'attributs d'annuaire Microsoft AD pris en charge à mapper à un seul attribut mutable dans IAM Identity Center. Par exemple, vous pouvez choisir l'subjectattribut sous l'attribut Utilisateur dans la colonne IAM Identity Center. Mappez-le ensuite à l'un ${dir:displayname} ${dir:lastname}${dir:firstname } ou l'autre des attributs pris en charge ou à une combinaison arbitraire d'attributs pris en charge. Pour obtenir la liste des mappages par défaut pour les attributs utilisateur dans IAM Identity Center, consultezMappages par défaut.

Avertissement

Certains attributs IAM d'Identity Center ne peuvent pas être modifiés car ils sont immuables et mappés par défaut à des attributs d'annuaire Microsoft AD spécifiques.

Par exemple, « nom d'utilisateur » est un attribut obligatoire dans IAM Identity Center. Si vous associez « nom d'utilisateur » à un attribut d'annuaire AD avec une valeur vide, IAM Identity Center considérera cette windowsUpn valeur comme la valeur par défaut pour « nom d'utilisateur ». Si vous souhaitez modifier le mappage d'attributs pour « nom d'utilisateur » par rapport à votre mappage actuel, vérifiez que les flux IAM Identity Center qui dépendent du « nom d'utilisateur » continueront de fonctionner comme prévu, avant d'effectuer la modification.

Si vous utilisez le ListUsers ou ListGroupsAPIactions ou list-users et list-groups AWS CLIcommandes pour attribuer l'accès aux utilisateurs et aux groupes Comptes AWS et pour les applications, vous devez spécifier la valeur pour AttributeValue sous forme deFQDN. Cette valeur doit être au format suivant : user@example.com. Dans l'exemple suivant, AttributeValue est défini surjanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Attributs IAM Identity Center pris en charge

Le tableau suivant répertorie tous les attributs IAM d'Identity Center pris en charge et pouvant être mappés aux attributs utilisateur de votre AWS Managed Microsoft AD annuaire. Après avoir configuré les mappages d'attributs de votre application, vous pouvez utiliser ces mêmes attributs IAM Identity Center pour les mapper aux attributs réels utilisés par cette application.

Attributs pris en charge dans IAM Identity Center
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Attributs du fournisseur d'identité externe pris en charge

Le tableau suivant répertorie tous les attributs de fournisseur d'identité (IdP) externes pris en charge et pouvant être mappés aux attributs que vous pouvez utiliser lors de la configuration Attributs pour le contrôle d’accès dans IAM Identity Center. Lorsque vous utilisez SAML des assertions, vous pouvez utiliser les attributs pris en charge par votre IdP.

Attributs pris en charge dans votre IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Mappages par défaut

Le tableau suivant répertorie les mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre AWS Managed Microsoft AD annuaire. IAMIdentity Center prend uniquement en charge la liste des attributs figurant dans la colonne Attribut utilisateur dans IAM Identity Center.

Note

Si vous n'avez aucune attribution pour vos utilisateurs et groupes dans IAM Identity Center lorsque vous activez la synchronisation AD configurable, les mappages par défaut du tableau suivant sont utilisés. Pour plus d'informations sur la personnalisation de ces mappages, consultezConfigurer les mappages d'attributs pour votre synchronisation.

Attribut utilisateur dans IAM Identity Center Mappé à cet attribut dans votre annuaire Microsoft AD
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* L'attribut e-mail dans IAM Identity Center doit être unique dans le répertoire. Dans le cas contraire, le processus de JIT connexion risque d'échouer.

Vous pouvez modifier les mappages par défaut ou ajouter d'autres attributs à l'assertion SAML 2.0 en fonction de vos besoins. Supposons, par exemple, que votre application nécessite l'adresse e-mail de l'utilisateur dans l'attribut User.Email SAML 2.0. Supposons également que les adresses e-mail soient stockées dans l'windowsUpnattribut de votre répertoire Microsoft AD. Pour réaliser ce mappage, vous devez apporter des modifications aux deux emplacements suivants dans la console IAM Identity Center :

  1. Sur la page Directory (Annuaire), sous la section Attribute mappings (Mappages d'attributs), vous devez mapper l'attribut utilisateur email à l'attribut ${dir:windowsUpn} (dans la colonne Maps to this attribute in your directory (Mappé à cet attribut dans votre annuaire)).

  2. Sur la page Applications, sélectionnez l'application dans le tableau. Choisissez l'onglet Mappages d'attributs. Mappez ensuite l'User.Emailattribut à l'${user:email}attribut (dans la colonne Correspond à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center).

Notez que vous devez fournir chaque attribut de répertoire sous la forme $ {dir :AttributeName}. Par exemple, l'attribut firstname dans votre annuaire Microsoft AD devient ${dir:firstname}. Il importe qu'une valeur réelle soit attribuée à chaque attribut d'annuaire. Les attributs sans valeur après ${dir: entraînent des problèmes de connexion utilisateur.