AWS Managed Microsoft AD  ディレクトリの属性マッピング - AWS IAM Identity Center
サポートされているディレクトリの属性サポートされている IAM Identity Center 属性サポートされている外部 ID プロバイダ属性デフォルトのマッピング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD  ディレクトリの属性マッピング

属性マッピングは、IAM Identity Center に存在する属性タイプを、 AWS Managed Microsoft AD ディレクトリ内の同様の属性にマッピングするために使用されます。IAM Identity Center は、Microsoft AD ディレクトリのユーザー属性を検索し、IAM Identity Center のユーザー属性にマップします。IAM アイデンティティセンターのこれらのユーザー属性マッピングは、アプリケーションの SAML 2.0 アサーションを生成するためにも使用されます。アプリケーションによって、正常なシングルサインオンに必要な SAML 2.0 属性のリストは異なります。

IAM Identity Center は、アプリケーションの設定ページの [属性マッピング] タブから一連の属性を事前に取得します。IAM アイデンティティセンターは、これらのユーザー属性を使用して、アプリケーションに送信される SAML アサーション (SAML 属性) を設定します。次に、これらのユーザー属性が Microsoft AD ディレクトリから取得されます。詳細については、「アプリケーションの属性を IAM Identity Center の属性にマップする」を参照してください。

IAM Identity Center は、ディレクトリの設定ページの [属性マッピング] セクションにある一連の属性も管理します。詳細については、「IAM Identity Center の属性を AWS Managed Microsoft AD ディレクトリの属性にマッピングする」を参照してください。

サポートされているディレクトリの属性

次の表は、サポートされているディレクトリ属性と、IAM Identity Center のユーザー属性にマッピングできる AWS Managed Microsoft AD ディレクトリ属性の一覧です。

Microsoft AD ディレクトリでサポートされている属性
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、IAM Identity Center の 1 つの変更可能な属性にマップできます。例えば、 IAM Identity Center のユーザー属性 列で subject 属性を選択することができます。そして、それを ${dir:displayname}${dir:lastname}${dir:firstname }、サポートされている単一の属性、またはサポートされている属性の任意の組み合わせにマッピングします。IAM Identity Center のユーザー属性のデフォルトマッピングのリストは、「デフォルトのマッピング」を参照してください。

警告

IAM Identity Center の特定の属性は変更不可で、デフォルトで特定の Microsoft AD ディレクトリ属性にマップされるため、変更できません。

例えば、「username」は IAM Identity Center の必須属性です。「username」を空の値を持つ AD ディレクトリ属性にマッピングすると、IAM Identity Center はそのwindowsUpn値を「username」のデフォルト値と見なします。現在のマッピングから「username」の属性マッピングを変更する場合は、「username」に依存する IAM Identity Center フローが引き続き期待どおりに動作することを確認してから変更を行ってください。

ListUsers または ListGroups API アクション、または list-usersおよび list-groups AWS CLI コマンドを使用して、ユーザーおよびグループアクセスをアプリケーション AWS アカウント に割り当てる場合は、 の値を FQDN AttributeValueとして指定する必要があります。この値は user@example.com の形式である必要があります。次の例では、AttributeValuejanedoe@example.com に設定されています。

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

サポートされている IAM Identity Center 属性

次の表は、サポートされているすべての IAM Identity Center 属性と、 AWS Managed Microsoft AD ディレクトリ内のユーザー属性にマッピングできるすべての IAM Identity Center 属性の一覧です。後で、アプリケーションの属性マッピングを設定するときに、これらの同じ IAM Identity Center の属性を、そのアプリケーションで使用されている実際の属性にマップできます。

IAM Identity Center でサポートされる属性
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

サポートされている外部 ID プロバイダ属性

以下の表では、サポートされているすべての外部 ID プロバイダー(IdP) 属性と、IAM Identity Center で アクセスコントロールの属性 を構成するときに使用できる属性にマッピングできるものをリストアップしたものです。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。

IdP でサポートされている属性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

デフォルトのマッピング

次の表は、IAM Identity Center のユーザー属性と AWS Managed Microsoft AD ディレクトリのユーザー属性のデフォルトマッピングを示しています。IAM ID センターは IAM Identity Center のユーザー属性 列の属性リストのみをサポートします。

注記

設定可能な AD 同期を有効にしたときに IAM Identity Center のユーザーとグループに何も割り当てられていない場合は、次の表のデフォルトマッピングが使用されます。これらのマッピングをカスタマイズする方法については、「同期の属性マッピングを設定する」を参照してください。

IAM Identity Center のユーザー属性 Microsoft AD ディレクトリのこの属性へのマップ
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* IAM Identity Center の E メール属性はディレクトリ内で一意である必要があります。または、JIT ログインプロセスが失敗する可能性があります。

必要に応じて、デフォルトのマッピングを変更したり、SAML 2.0 アサーションに属性を追加したりできます。例えば、アプリケーションでは、User.Email SAML 2.0 属性にユーザーの E メールを要求するとします。また、E メールアドレスは、Microsoft AD ディレクトリの windowsUpn 属性に保存されていると仮定します。このマッピングのためには、IAM Identity Center コンソールで以下の 2 つの場所を変更する必要があります。

  1. [Directory] (ディレクトリ) ページ、[Attribute mappings] (属性マッピング) セクションで、ユーザー属性 email${dir:windowsUpn} 属性にマッピングする必要があります ([Maps to this attribute in your directory] (ディレクトリにあるこの属性にマップする) 列)。

  2. [Applications] (アプリケーション) ページで、テーブルからアプリケーションを選択します。[Attribute mappings] (属性マッピング) タブを選択します。次に、User.Email 属性を ${user:email} 属性にマッピングします ( IAM Identity Center 列のこの文字列値またはユーザー属性にマップされる)。

ディレクトリの各属性は ${dir:AttributeName} 形式で指定する必要があります。例えば、Microsoft AD ディレクトリの firstname 属性は ${dir:firstname} になります。ディレクトリのすべての属性に実際の値が割り当てられていることが重要です。属性で ${dir: の後に値がないと、ユーザーのサインイン時に問題が発生します。