지원되는 디렉터리 속성 지원되는 IAM Identity Center 속성 지원되는 외부 ID 제공업체 속성 기본 매핑

AWS Managed Microsoft AD 디렉터리의 속성 매핑

속성 매핑은 IAM Identity Center에 있는 속성 유형을 디렉터리의 유사한 속성과 매핑하는 데 사용됩니다. AWS Managed Microsoft AD IAM Identity Center는 Microsoft AD 디렉터리에서 사용자 속성을 검색하여 IAM Identity Center 사용자 속성에 매핑합니다. 이러한 IAM Identity Center 사용자 속성 매핑은 애플리케이션에 대한 SAML 2.0 어설션을 생성하는 데에도 사용됩니다. 각 애플리케이션은 성공적인 Single Sign-On에 필요한 SAML 2.0 속성 목록을 결정합니다.

IAM Identity Center는 애플리케이션 구성 페이지에 있는 속성 매핑 탭에서 속성 세트를 자동으로 채웁니다. IAM Identity Center는 이러한 사용자 속성을 사용하여 애플리케이션으로 전송되는 SAML 어설션(SAML 속성으로)을 채웁니다. 이러한 사용자 속성은 Microsoft AD 디렉터리에서 검색됩니다. 자세한 내용은 애플리케이션의 속성을 IAM Identity Center 속성에 매핑 단원을 참조하세요.

또한 IAM Identity Center는 디렉터리 구성 페이지의 속성 매핑 섹션에서 속성 세트를 관리합니다. 자세한 내용은 IAM Identity Center의 속성을 디렉터리의 속성에 매핑합니다. AWS Managed Microsoft AD 단원을 참조하세요.

지원되는 디렉터리 속성

다음 표에는 지원되는 AWS Managed Microsoft AD 디렉터리 속성 및 IAM Identity Center의 사용자 속성에 매핑할 수 있는 모든 디렉터리 속성이 나열되어 있습니다.

Microsoft AD 디렉터리에서 지원되는 속성
`${dir:email}`
`${dir:displayname}`
`${dir:distinguishedName}`
`${dir:firstname}`
`${dir:guid}`
`${dir:initials}`
`${dir:lastname}`
`${dir:proxyAddresses}`
`${dir:proxyAddresses:smtp}`
`${dir:proxyAddresses:SMTP}`
`${dir:windowsUpn}`

지원되는 Microsoft AD 디렉터리 속성의 조합을 IAM Identity Center의 단일 가변 속성에 매핑하도록 지정할 수 있습니다. 예를 들어, IAM Identity Center 열의 사용자 속성 아래에서 subject 속성을 선택할 수 있습니다. 그런 다음 ${dir:displayname} 또는 ${dir:lastname}${dir:firstname } 또는 지원되는 단일 속성이나 지원되는 속성의 임의 조합중 하나에 매핑합니다. IAM Identity Center의 사용자 속성에 대한 기본 매핑 목록은 기본 매핑 단원을 참조하세요.

주의

특정 IAM Identity Center 속성은 변경할 수 없고 기본적으로 특정 Microsoft AD 디렉터리 속성에 매핑되므로 수정할 수 없습니다.

예를 들어, “사용자 이름”은 IAM ID 센터의 필수 속성입니다. 값이 비어 있는 AD 디렉터리 속성에 “사용자 이름”을 매핑하면 IAM Identity Center는 해당 windowsUpn 값을 “사용자 이름”의 기본값으로 간주합니다. 현재 매핑에서 “사용자 이름”에 대한 속성 매핑을 변경하려면 변경하기 전에 “사용자 이름”에 종속된 IAM Identity Center 흐름이 예상대로 계속 작동하는지 확인하십시오.

ListUsers또는 ListGroupsAPI 작업 또는 list-users및 list-groups AWS CLI 명령을 사용하여 사용자 및 그룹에 애플리케이션에 대한 액세스 권한을 할당하는 AWS 계정 경우 의 값을 AttributeValue FQDN으로 지정해야 합니다. 이 값은 user@example.com 형식이어야 합니다. 다음 예에서 AttributeValue가 janedoe@example.com으로 설정됩니다.


aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

지원되는 IAM Identity Center 속성

다음 표에는 지원되고 디렉터리의 사용자 속성에 매핑할 수 있는 모든 IAM Identity Center 속성이 나열되어 있습니다. AWS Managed Microsoft AD 애플리케이션 속성 매핑을 설정한 후 동일한 IAM Identity Center 속성을 사용하여 해당 애플리케이션에서 사용하는 실제 속성에 매핑할 수 있습니다.

IAM Identity Center에서 지원되는 속성
`${user:AD_GUID}`
`${user:email}`
`${user:familyName}`
`${user:givenName}`
`${user:middleName}`
`${user:name}`
`${user:preferredUsername}`
`${user:subject}`

지원되는 외부 ID 제공업체 속성

다음 표에는 지원되고 IAM Identity Center에서 액세스 제어를 위한 속성을(를) 구성할 때 사용할 수 있는 속성에 매핑할 수 있는 모든 외부 ID 제공업체(idP) 속성이 나열되어 있습니다. SAML 어설션을 사용할 때는 IdP가 지원하는 모든 속성을 사용할 수 있습니다.

IdP에서 지원되는 속성
`${path:userName}`
`${path:name.familyName}`
`${path:name.givenName}`
`${path:displayName}`
`${path:nickName}`
`${path:emails[primary eq true].value}`
`${path:addresses[type eq "work"].streetAddress}`
`${path:addresses[type eq "work"].locality}`
`${path:addresses[type eq "work"].region}`
`${path:addresses[type eq "work"].postalCode}`
`${path:addresses[type eq "work"].country}`
`${path:addresses[type eq "work"].formatted}`
`${path:phoneNumbers[type eq "work"].value}`
`${path:userType}`
`${path:title}`
`${path:locale}`
`${path:timezone}`
`${path:enterprise.employeeNumber}`
`${path:enterprise.costCenter}`
`${path:enterprise.organization}`
`${path:enterprise.division}`
`${path:enterprise.department}`
`${path:enterprise.manager.value}`

기본 매핑

다음 표에는 IAM Identity Center의 사용자 속성과 디렉터리의 사용자 속성에 대한 기본 매핑이 나와 있습니다. AWS Managed Microsoft AD IAM Identity Center는 IAM Identity Center 열의 사용자 속성에 있는 속성 목록만 지원합니다.

참고

구성 가능한 AD 동기화를 활성화할 때 IAM Identity Center의 사용자 및 그룹에 대한 할당이 없는 경우 다음 표의 기본 매핑이 사용됩니다. 이러한 매핑을 사용자 지정하는 방법은 동기화를 위한 속성 매핑을 구성합니다. 단원을 참조하세요.

IAM Identity Center의 사용자 속성	Microsoft AD 디렉터리의 이 속성에 매핑됩니다.
`AD_GUID`	`${dir:guid}`
`email` *	`${dir:windowsUpn}`
`familyName`	`${dir:lastname}`
`givenName`	`${dir:firstname}`
`middleName`	`${dir:initials}`
`name`	`${dir:displayname}`
`preferredUsername`	`${dir:displayname}`
`subject`	`${dir:windowsUpn}`

* IAM Identity Center의 이메일 속성은 디렉터리 내에서 고유해야 합니다. 그렇지 않으면 JIT 로그인 프로세스가 실패할 수 있습니다.

요구 사항에 따라 기본 매핑을 변경하거나 SAML 2.0 어설션에 더 많은 속성을 추가할 수 있습니다. 예를 들어, 애플리케이션의 User.Email SAML 2.0 속성에 사용자 이메일이 필요하다고 가정해 보겠습니다. 또한 Microsoft AD 디렉터리의 windowsUpn 속성에 이메일 주소가 저장되어 있다고 가정해 보겠습니다. 이 매핑을 수행하려면 IAM Identity Center 콘솔의 다음 두 위치를 변경해야 합니다.

디렉터리 페이지의 속성 매핑 섹션에서 사용자 속성 email을 ${dir:windowsUpn} 속성에 매핑해야 합니다(디렉터리의 이 속성에 매핑 열).
애플리케이션 페이지의 표에서 애플리케이션을 선택합니다. 속성 매핑 탭을 선택합니다. 그런 다음 User.Email 속성을 ${user:email} 속성(IAM Identity Center의 이 문자열 값 또는 사용자 속성에 매핑 열)에 매핑합니다.

참고로 각 디렉터리 속성은 ${dir:AttributeName} 형식으로 제공해야 합니다. 예를 들어, Microsoft AD 디렉터리의 firstname 속성은 ${dir:firstname}이(가) 됩니다. 모든 디렉터리 속성에는 실제 값이 할당되어 있어야 합니다. ${dir: 뒤에 속성 값이 누락되면 사용자 로그인 문제가 발생할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결

IAM Identity Center의 속성을 디렉터리의 속성에 매핑합니다. AWS Managed Microsoft AD