AWS Managed Microsoft AD Mappature degli attributi per le directory - AWS IAM Identity Center
Attributi di directory supportatiAttributi IAM Identity Center supportatiAttributi del provider di identità esterno supportatiMappature predefinite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Managed Microsoft AD Mappature degli attributi per le directory

Le mappature degli attributi vengono utilizzate per mappare i tipi di attributi esistenti in IAM Identity Center con attributi simili in una directory. AWS Managed Microsoft AD IAM Identity Center recupera gli attributi utente dalla directory Microsoft AD e li mappa agli attributi utente di IAM Identity Center. Queste mappature degli attributi utente di IAM Identity Center vengono utilizzate anche per generare asserzioni SAML 2.0 per le tue applicazioni. Ogni applicazione determina l'elenco degli attributi SAML 2.0 necessari per il single sign-on di successo.

IAM Identity Center precompila automaticamente un set di attributi nella scheda Mappature degli attributi che si trova nella pagina di configurazione dell'applicazione. IAM Identity Center utilizza questi attributi utente per compilare le asserzioni SAML (come attributi SAML) che vengono inviate all'applicazione. Questi attributi utente vengono quindi recuperati dalla directory Microsoft AD. Per ulteriori informazioni, consulta Mappa gli attributi dell'applicazione agli attributi di IAM Identity Center.

IAM Identity Center gestisce anche una serie di attributi nella sezione Mappature degli attributi della pagina di configurazione delle directory. Per ulteriori informazioni, consulta Mappa gli attributi in IAM Identity Center agli attributi nella tua directory AWS Managed Microsoft AD.

Attributi di directory supportati

La tabella seguente elenca tutti gli attributi di AWS Managed Microsoft AD directory supportati e che possono essere mappati agli attributi utente in IAM Identity Center.

Attributi supportati nella directory Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Puoi specificare qualsiasi combinazione di attributi di directory Microsoft AD supportati da mappare a un singolo attributo mutabile in IAM Identity Center. Ad esempio, puoi scegliere l'subjectattributo sotto l'attributo User nella colonna IAM Identity Center. Quindi mappalo a uno ${dir:displayname} ${dir:lastname}${dir:firstname } o a qualsiasi attributo supportato singolo o a qualsiasi combinazione arbitraria di attributi supportati. Per un elenco delle mappature predefinite per gli attributi utente in IAM Identity Center, consulta. Mappature predefinite

avvertimento

Alcuni attributi di IAM Identity Center non possono essere modificati perché sono immutabili e mappati per impostazione predefinita su specifici attributi di directory Microsoft AD.

Ad esempio, «username» è un attributo obbligatorio in IAM Identity Center. Se mappi «username» a un attributo di directory AD con un valore vuoto, IAM Identity Center considererà il windowsUpn valore come valore predefinito per «username». Se desideri modificare la mappatura degli attributi per «username» rispetto alla mappatura attuale, conferma che i flussi di IAM Identity Center con dipendenza da «username» continueranno a funzionare come previsto, prima di apportare la modifica.

Se si utilizzano le azioni ListUserso ListGroupsAPI o i comandi list-userse list-groups AWS CLI per assegnare l'accesso a utenti e gruppi alle Account AWS applicazioni, è necessario specificare il valore per AttributeValue come nome di dominio completo. Questo valore deve essere nel seguente formato: user@example.com. Nell'esempio seguente, AttributeValue è impostato sujanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Attributi IAM Identity Center supportati

La tabella seguente elenca tutti gli attributi di IAM Identity Center supportati e che possono essere mappati agli attributi utente nella AWS Managed Microsoft AD directory. Dopo aver impostato le mappature degli attributi dell'applicazione, puoi utilizzare gli stessi attributi di IAM Identity Center per mappare gli attributi effettivi utilizzati da quell'applicazione.

Attributi supportati in IAM Identity Center
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Attributi del provider di identità esterno supportati

La tabella seguente elenca tutti gli attributi del provider di identità esterno (IdP) che sono supportati e che possono essere mappati agli attributi che è possibile utilizzare durante la configurazione Attributi per il controllo degli accessi in IAM Identity Center. Quando usi le asserzioni SAML, puoi utilizzare qualsiasi attributo supportato dal tuo IdP.

Attributi supportati nel tuo IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Mappature predefinite

La tabella seguente elenca le mappature predefinite degli attributi utente in IAM Identity Center con gli attributi utente nella directory. AWS Managed Microsoft AD IAM Identity Center supporta solo l'elenco degli attributi nell'attributo User nella colonna IAM Identity Center.

Nota

Se non hai alcuna assegnazione per i tuoi utenti e gruppi in IAM Identity Center quando abiliti la sincronizzazione AD configurabile, vengono utilizzate le mappature predefinite nella tabella seguente. Per informazioni su come personalizzare queste mappature, consulta. Configura le mappature degli attributi per la sincronizzazione

Attributo utente in IAM Identity Center Esegue la mappatura a questo attributo nella directory Microsoft AD
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* L'attributo email in IAM Identity Center deve essere univoco all'interno della directory. In caso contrario, il processo di accesso JIT potrebbe fallire.

Puoi modificare le mappature predefinite o aggiungere altri attributi all'asserzione SAML 2.0 in base ai tuoi requisiti. Ad esempio, supponiamo che l'applicazione richieda l'e-mail dell'utente nell'attributo SAML 2.0. User.Email Inoltre, si supponga che gli indirizzi e-mail siano memorizzati nell'windowsUpnattributo nella directory Microsoft AD. Per ottenere questa mappatura, è necessario apportare modifiche nelle seguenti due posizioni della console IAM Identity Center:

  1. Nella pagina Directory, nella sezione Attribute mappings (Mappature attributi), devi mappare l'attributo utente email all'attributo ${dir:windowsUpn} nella colonna Maps to this attribute in your directory (Esegue la mappatura a questo attributo nella directory)

  2. Nella pagina Applicazioni, scegli l'applicazione dalla tabella. Scegli la scheda Mappature degli attributi. Quindi mappa l'User.Emailattributo all'${user:email}attributo (nella colonna Maps to this string value o user attribute in IAM Identity Center).

Nota che devi fornire ogni attributo di directory nel formato $ {dir:AttributeName}. Ad esempio, l'attributo firstname nella directory Microsoft AD diventa ${dir:firstname}. È importante che a ogni attributo di directory venga assegnato un valore effettivo. La mancanza negli attributi di un valore dopo ${dir: causerà problemi di accesso all'utente.