Pemetaan atribut untuk AWS Managed Microsoft AD direktori - AWS IAM Identity Center
Atribut direktori yang didukungAtribut Pusat IAM Identitas yang didukungAtribut penyedia identitas eksternal yang didukungPemetaan default

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemetaan atribut untuk AWS Managed Microsoft AD direktori

Pemetaan atribut digunakan untuk memetakan tipe atribut yang ada di Pusat IAM Identitas dengan atribut serupa di AWS Managed Microsoft AD direktori. IAMIdentity Center mengambil atribut pengguna dari direktori Microsoft AD Anda dan memetakannya ke atribut pengguna Pusat IAM Identitas. Pemetaan atribut pengguna Pusat IAM Identitas ini juga digunakan untuk menghasilkan pernyataan SAML 2.0 untuk aplikasi Anda. Setiap aplikasi menentukan daftar atribut SAML 2.0 yang dibutuhkan untuk proses masuk tunggal yang berhasil.

IAMPusat Identitas mengisi ulang sekumpulan atribut untuk Anda di bawah tab pemetaan Atribut yang ditemukan di halaman konfigurasi aplikasi Anda. IAMIdentity Center menggunakan atribut pengguna ini untuk mengisi SAML pernyataan (sebagai SAML atribut) yang dikirim ke aplikasi. Atribut pengguna ini pada gilirannya diambil dari direktori Microsoft AD Anda. Untuk informasi selengkapnya, lihat Petakan atribut dalam aplikasi Anda ke atribut Pusat IAM Identitas.

IAMIdentity Center juga mengelola serangkaian atribut untuk Anda di bawah bagian pemetaan Atribut dari halaman konfigurasi direktori Anda. Untuk informasi selengkapnya, lihat Memetakan atribut pengguna antara IAM Identity Center dan direktori Microsoft AD.

Atribut direktori yang didukung

Tabel berikut mencantumkan semua AWS Managed Microsoft AD atribut direktori yang didukung dan yang dapat dipetakan ke atribut pengguna di Pusat IAM Identitas.

Atribut yang didukung di direktori Microsoft AD Anda
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Anda dapat menentukan kombinasi atribut direktori Microsoft AD yang didukung untuk dipetakan ke atribut tunggal yang dapat berubah di Pusat IAM Identitas. Misalnya, Anda dapat memilih subject atribut di bawah atribut Pengguna di kolom Pusat IAM Identitas. Kemudian petakan ke salah satu ${dir:displayname} atau ${dir:lastname}${dir:firstname } atau atribut tunggal yang didukung atau kombinasi arbitrer dari atribut yang didukung. Untuk daftar pemetaan default untuk atribut pengguna di Pusat IAM Identitas, lihat. Pemetaan default

Awas

Atribut Pusat IAM Identitas tertentu tidak dapat dimodifikasi karena tidak dapat diubah dan dipetakan secara default ke atribut direktori Microsoft AD tertentu.

Misalnya, “nama pengguna” adalah atribut wajib di Pusat IAM Identitas. Jika Anda memetakan “nama pengguna” ke atribut direktori AD dengan nilai kosong, Pusat IAM Identitas akan mempertimbangkan windowsUpn nilai sebagai nilai default untuk “nama pengguna”. Jika Anda ingin mengubah pemetaan atribut untuk “nama pengguna” dari pemetaan Anda saat ini, konfirmasikan alur Pusat IAM Identitas dengan ketergantungan pada “nama pengguna” akan terus berfungsi seperti yang diharapkan, sebelum melakukan perubahan.

Jika Anda menggunakan ListUsers atau ListGroupsAPItindakan atau list-users dan list-groups AWS CLIperintah untuk menetapkan akses pengguna dan grup Akun AWS dan untuk aplikasi, Anda harus menentukan nilai untuk AttributeValue sebagaiFQDN. Nilai ini harus dalam format berikut: user@example.com. Dalam contoh berikut, AttributeValue diatur kejanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Atribut Pusat IAM Identitas yang didukung

Tabel berikut mencantumkan semua atribut Pusat IAM Identitas yang didukung dan yang dapat dipetakan ke atribut pengguna di AWS Managed Microsoft AD direktori. Setelah Anda mengatur pemetaan atribut aplikasi Anda, Anda dapat menggunakan atribut Pusat IAM Identitas yang sama ini untuk memetakan ke atribut aktual yang digunakan oleh aplikasi tersebut.

Atribut yang didukung di Pusat IAM Identitas
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Atribut penyedia identitas eksternal yang didukung

Tabel berikut mencantumkan semua atribut penyedia identitas eksternal (iDP) yang didukung dan yang dapat dipetakan ke atribut yang dapat Anda gunakan saat mengonfigurasi Atribut untuk kontrol akses di Pusat Identitas. IAM Saat menggunakan SAML pernyataan, Anda dapat menggunakan atribut apa pun yang didukung idP Anda.

Atribut yang didukung di IDP Anda
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Pemetaan default

Tabel berikut mencantumkan pemetaan default untuk atribut pengguna di Pusat IAM Identitas ke atribut pengguna di AWS Managed Microsoft AD direktori. IAMPusat Identitas hanya mendukung daftar atribut dalam atribut Pengguna di kolom Pusat IAM Identitas.

catatan

Jika Anda tidak memiliki tugas untuk pengguna dan grup di Pusat IAM Identitas saat mengaktifkan sinkronisasi AD yang dapat dikonfigurasi, pemetaan default dalam tabel berikut akan digunakan. Untuk informasi tentang cara menyesuaikan pemetaan ini, lihat. Konfigurasikan pemetaan atribut untuk sinkronisasi Anda

Atribut pengguna di Pusat IAM Identitas Memetakan ke atribut ini di direktori Microsoft AD Anda
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* Atribut email di IAM Identity Center harus unik dalam direktori. Jika tidak, proses JIT login bisa gagal.

Anda dapat mengubah pemetaan default atau menambahkan lebih banyak atribut ke pernyataan SAML 2.0 berdasarkan kebutuhan Anda. Misalnya, asumsikan bahwa aplikasi Anda memerlukan email pengguna dalam atribut User.Email SAML 2.0. Selain itu, asumsikan bahwa alamat email disimpan dalam windowsUpn atribut di direktori Microsoft AD Anda. Untuk mencapai pemetaan ini, Anda harus membuat perubahan di dua tempat berikut di konsol Pusat IAM Identitas:

  1. Pada halaman Direktori, di bawah bagian pemetaan Atribut, Anda perlu memetakan atribut pengguna emailke ${dir:windowsUpn}atribut (di Maps to this atribut di kolom direktori Anda)

  2. Pada halaman Aplikasi, pilih aplikasi dari tabel. Pilih tab Pemetaan atribut. Kemudian petakan User.Email atribut ke ${user:email}atribut (di Peta ke nilai string ini atau atribut pengguna di kolom Pusat IAM Identitas).

Perhatikan bahwa Anda harus menyediakan setiap atribut direktori dalam bentuk $ {dir:AttributeName}. Misalnya, firstname atribut di direktori Microsoft AD Anda menjadi${dir:firstname}. Adalah penting bahwa setiap atribut direktori memiliki nilai aktual yang ditetapkan. Atribut kehilangan nilai setelahnya ${dir: akan menyebabkan masalah login pengguna.