Pemetaan atribut untuk direktori AWS Managed Microsoft AD - AWS IAM Identity Center
Atribut direktori yang didukungAtribut Pusat Identitas IAM yang didukungAtribut penyedia identitas eksternal yang didukungPemetaan default

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemetaan atribut untuk direktori AWS Managed Microsoft AD

Pemetaan atribut digunakan untuk memetakan tipe atribut yang ada di Pusat Identitas IAM dengan atribut serupa dalam direktori. AWS Managed Microsoft AD IAM Identity Center mengambil atribut pengguna dari direktori Microsoft AD Anda dan memetakannya ke atribut pengguna IAM Identity Center. Pemetaan atribut pengguna IAM Identity Center ini juga digunakan untuk menghasilkan pernyataan SAFL 2.0 untuk aplikasi Anda. Setiap aplikasi menentukan daftar atribut SAMP 2.0 yang dibutuhkan untuk proses masuk tunggal yang berhasil.

IAM Identity Center mengisi ulang sekumpulan atribut untuk Anda di bawah tab pemetaan Atribut yang ditemukan di halaman konfigurasi aplikasi Anda. IAM Identity Center menggunakan atribut pengguna ini untuk mengisi pernyataan SAMB (sebagai atribut SALL) yang dikirim ke aplikasi. Atribut pengguna ini pada gilirannya diambil dari direktori Microsoft AD Anda. Untuk informasi selengkapnya, lihat Petakan atribut dalam aplikasi Anda ke atribut IAM Identity Center.

IAM Identity Center juga mengelola serangkaian atribut untuk Anda di bawah bagian pemetaan Atribut dari halaman konfigurasi direktori Anda. Untuk informasi selengkapnya, lihat Petakan atribut di Pusat Identitas IAM ke atribut di direktori Anda AWS Managed Microsoft AD.

Atribut direktori yang didukung

Tabel berikut mencantumkan semua atribut AWS Managed Microsoft AD direktori yang didukung dan yang dapat dipetakan ke atribut pengguna di IAM Identity Center.

Atribut yang didukung di direktori Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Anda dapat menentukan kombinasi atribut direktori Microsoft AD yang didukung untuk dipetakan ke atribut tunggal yang dapat berubah di Pusat Identitas IAM. Misalnya, Anda dapat memilih subject atribut di bawah atribut Pengguna di kolom Pusat Identitas IAM. Kemudian petakan ke salah satu ${dir:displayname} atau ${dir:lastname}${dir:firstname } atau atribut tunggal yang didukung atau kombinasi arbitrer dari atribut yang didukung. Untuk daftar pemetaan default untuk atribut pengguna di Pusat Identitas IAM, lihat. Pemetaan default

Awas

Atribut Pusat Identitas IAM tertentu tidak dapat dimodifikasi karena tidak dapat diubah dan dipetakan secara default ke atribut direktori Microsoft AD tertentu.

Misalnya, “nama pengguna” adalah atribut wajib di IAM Identity Center. Jika Anda memetakan “nama pengguna” ke atribut direktori AD dengan nilai kosong, Pusat Identitas IAM akan mempertimbangkan windowsUpn nilai sebagai nilai default untuk “nama pengguna”. Jika Anda ingin mengubah pemetaan atribut untuk “nama pengguna” dari pemetaan Anda saat ini, konfirmasikan alur Pusat Identitas IAM dengan ketergantungan pada “nama pengguna” akan terus berfungsi seperti yang diharapkan, sebelum melakukan perubahan.

Jika Anda menggunakan tindakan ListUsersatau ListGroupsAPI atau perintah list-usersdan list-groups AWS CLI untuk menetapkan pengguna dan grup akses ke Akun AWS dan ke aplikasi, Anda harus menentukan nilai untuk AttributeValue sebagai FQDN. Nilai ini harus dalam format berikut: user@example.com. Dalam contoh berikut, AttributeValue diatur kejanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Atribut Pusat Identitas IAM yang didukung

Tabel berikut mencantumkan semua atribut IAM Identity Center yang didukung dan yang dapat dipetakan ke atribut pengguna di direktori Anda AWS Managed Microsoft AD . Setelah Anda mengatur pemetaan atribut aplikasi Anda, Anda dapat menggunakan atribut Pusat Identitas IAM yang sama ini untuk memetakan ke atribut aktual yang digunakan oleh aplikasi tersebut.

Atribut yang didukung di Pusat Identitas IAM
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Atribut penyedia identitas eksternal yang didukung

Tabel berikut mencantumkan semua atribut penyedia identitas eksternal (iDP) yang didukung dan yang dapat dipetakan ke atribut yang dapat Anda gunakan saat mengonfigurasi Atribut untuk kontrol akses di Pusat Identitas IAM. Saat menggunakan pernyataan SAMP, Anda dapat menggunakan atribut apa pun yang didukung idP Anda.

Atribut yang didukung di IDP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Pemetaan default

Tabel berikut mencantumkan pemetaan default untuk atribut pengguna di Pusat Identitas IAM ke atribut pengguna di direktori Anda. AWS Managed Microsoft AD IAM Identity Center hanya mendukung daftar atribut dalam atribut User di kolom IAM Identity Center.

catatan

Jika Anda tidak memiliki tugas untuk pengguna dan grup di Pusat Identitas IAM saat Anda mengaktifkan sinkronisasi AD yang dapat dikonfigurasi, pemetaan default dalam tabel berikut akan digunakan. Untuk informasi tentang cara menyesuaikan pemetaan ini, lihat. Konfigurasikan pemetaan atribut untuk sinkronisasi Anda

Atribut pengguna di Pusat Identitas IAM Memetakan ke atribut ini di direktori Microsoft AD
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* Atribut email di IAM Identity Center harus unik dalam direktori. Jika tidak, proses login JIT bisa gagal.

Anda dapat mengubah pemetaan default atau menambahkan lebih banyak atribut ke pernyataan SAMP 2.0 berdasarkan kebutuhan Anda. Misalnya, asumsikan bahwa aplikasi Anda memerlukan email pengguna dalam atribut User.Email SAMP 2.0. Selain itu, asumsikan bahwa alamat email disimpan dalam windowsUpn atribut di direktori Microsoft AD Anda. Untuk mencapai pemetaan ini, Anda harus membuat perubahan di dua tempat berikut di konsol Pusat Identitas IAM:

  1. Pada halaman Direktori, di bawah bagian pemetaan Atribut, Anda perlu memetakan atribut pengguna emailke ${dir:windowsUpn}atribut (di Maps to this atribut di kolom direktori Anda)

  2. Pada halaman Aplikasi, pilih aplikasi dari tabel. Pilih tab Pemetaan Atribut. Kemudian petakan User.Email atribut ke ${user:email}atribut (di Maps ke nilai string ini atau atribut pengguna di kolom IAM Identity Center).

Perhatikan bahwa Anda harus menyediakan setiap atribut direktori dalam bentuk $ {dir:AttributeName}. Misalnya, firstname atribut di direktori Microsoft AD Anda menjadi${dir:firstname}. Adalah penting bahwa setiap atribut direktori memiliki nilai aktual yang ditetapkan. Atribut kehilangan nilai setelahnya ${dir: akan menyebabkan masalah login pengguna.