AWS Managed Microsoft AD 디렉터리의 속성 매핑 - AWS IAM Identity Center

AWS Managed Microsoft AD 디렉터리의 속성 매핑

속성 매핑은 IAM Identity Center에 있는 속성 유형을 Google Workspace, Microsoft Active Directory (AD), Okta와 같은 외부 ID 소스의 유사 속성과 매핑하는 데에 사용됩니다. IAM Identity Center는 ID 소스에서 사용자 속성을 검색하여 이를 IAM Identity Center 사용자 속성에 매핑합니다.

Google Workspace, Okta, Ping와 같은 외부 ID 제공업체를 ID 소스로 사용하는 경우 IAM Identity Center는 애플리케이션의 구성 페이지에 있는 속성 매핑 탭에 속성 집합을 미리 채웁니다. IAM Identity Center는 이러한 사용자 속성을 사용하여 애플리케이션으로 전송되는 SAML 어설션(SAML 속성으로)을 채웁니다. 그러면 이러한 사용자 속성이 ID 소스에서 검색됩니다. 자세한 내용은 애플리케이션의 속성을 IAM Identity Center 속성에 매핑 단원을 참조하십시오. 이 IAM Identity Center 사용자 속성 매핑은 애플리케이션에 대한 SAML 2.0 어설션을 위해 생성될 수 있습니다. 각 애플리케이션은 성공적인 Single Sign-On에 필요한 SAML 2.0 속성 목록을 결정합니다.

또 AD를 ID 소스로 사용하는 경우 IAM Identity Center는 Active Directory 구성 페이지속성 매핑 섹션에서 속성 집합을 관리합니다. 자세한 내용은 IAM Identity Center와 Microsoft AD 디렉터리 간 사용자 속성 매핑 단원을 참조하십시오.

지원되는 디렉터리 속성

다음 표에는 지원되고 IAM Identity Center의 사용자 속성에 매핑할 수 있는 모든 AWS Managed Microsoft AD 디렉터리 속성이 나열되어 있습니다.

Microsoft AD 디렉터리에서 지원되는 속성
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

지원되는 Microsoft AD 디렉터리 속성의 조합을 IAM Identity Center의 단일 가변 속성에 매핑하도록 지정할 수 있습니다. 예를 들어, IAM Identity Center 열의 사용자 속성 아래에서 subject 속성을 선택할 수 있습니다. 그런 다음 ${dir:displayname} 또는 ${dir:lastname}${dir:firstname } 또는 지원되는 단일 속성이나 지원되는 속성의 임의 조합중 하나에 매핑합니다. IAM Identity Center의 사용자 속성에 대한 기본 매핑 목록은 기본 매핑 단원을 참조하세요.

주의

특정 IAM Identity Center 속성은 변경할 수 없고 기본적으로 특정 Microsoft AD 디렉터리 속성에 매핑되므로 수정할 수 없습니다.

예를 들어 "사용자 이름"은 IAM Identity Center의 필수 속성입니다. "사용자 이름"을 값이 비어 있는 AD 디렉터리 속성에 매핑하는 경우 IAM Identity Center는 windowsUpn 값을 "사용자 이름"의 기본값으로 간주합니다. 현재 매핑에서 "사용자 이름"의 속성 매핑을 변경하고자 한다면 변경 전 "사용자 이름"에 종속된 IAM Identity Center 플로가 예상대로 계속 작동하는지 확인합니다.

ListUsers 또는 ListGroups API 작업 또는 list-userslist-groups AWS CLI 명령을 사용하여 사용자 및 그룹에 AWS 계정 및 애플리케이션에 대한 액세스 권한을 할당하는 경우 AttributeValue의 값을 FQDN으로 지정해야 합니다. 이 값은 user@example.com 형식이어야 합니다. 다음 예에서 AttributeValuejanedoe@example.com으로 설정됩니다.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

지원되는 IAM Identity Center 속성

다음 표에는 지원되고 AWS Managed Microsoft AD 디렉터리의 사용자 속성에 매핑할 수 있는 모든 IAM Identity Center 속성이 나열되어 있습니다. 애플리케이션 속성 매핑을 설정한 후 동일한 IAM Identity Center 속성을 사용하여 해당 애플리케이션에서 사용하는 실제 속성에 매핑할 수 있습니다.

IAM Identity Center에서 지원되는 속성
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

지원되는 외부 ID 제공업체 속성

다음 표에는 지원되고 IAM Identity Center에서 액세스 제어를 위한 속성을(를) 구성할 때 사용할 수 있는 속성에 매핑할 수 있는 모든 외부 ID 제공업체(idP) 속성이 나열되어 있습니다. SAML 어설션을 사용할 때는 IdP가 지원하는 모든 속성을 사용할 수 있습니다.

IdP에서 지원되는 속성
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

기본 매핑

다음 표에는 IAM Identity Center의 사용자 속성과 AWS Managed Microsoft AD 디렉터리의 사용자 속성에 대한 기본 매핑이 나와 있습니다. IAM Identity Center는 IAM Identity Center 열의 사용자 속성에 있는 속성 목록만 지원합니다.

참고

구성 가능한 AD 동기화를 활성화할 때 IAM Identity Center의 사용자 및 그룹에 대한 할당이 없는 경우 다음 표의 기본 매핑이 사용됩니다. 이러한 매핑을 사용자 지정하는 방법은 동기화를 위한 속성 매핑을 구성합니다. 단원을 참조하세요.

IAM Identity Center의 사용자 속성 Microsoft AD 디렉터리의 이 속성에 매핑됩니다.
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* IAM Identity Center의 이메일 속성은 디렉터리 내에서 고유해야 합니다. 그렇지 않으면 JIT 로그인 프로세스가 실패할 수 있습니다.

요구 사항에 따라 기본 매핑을 변경하거나 SAML 2.0 어설션에 더 많은 속성을 추가할 수 있습니다. 예를 들어, 애플리케이션의 User.Email SAML 2.0 속성에 사용자 이메일이 필요하다고 가정해 보겠습니다. 또한 Microsoft AD 디렉터리의 windowsUpn 속성에 이메일 주소가 저장되어 있다고 가정해 보겠습니다. 이 매핑을 수행하려면 IAM Identity Center 콘솔의 다음 두 위치를 변경해야 합니다.

  1. 디렉터리 페이지속성 매핑 섹션에서 사용자 속성 email${dir:windowsUpn} 속성에 매핑해야 합니다(디렉터리의 이 속성에 매핑 열).

  2. 애플리케이션 페이지의 표에서 애플리케이션을 선택합니다. 속성 매핑 탭을 선택합니다. 그런 다음 User.Email 속성을 ${user:email} 속성(IAM Identity Center의 이 문자열 값 또는 사용자 속성에 매핑 열)에 매핑합니다.

참고로 각 디렉터리 속성은 ${dir:AttributeName} 형식으로 제공해야 합니다. 예를 들어, Microsoft AD 디렉터리의 firstname 속성은 ${dir:firstname}이(가) 됩니다. 모든 디렉터리 속성에는 실제 값이 할당되어 있어야 합니다. ${dir: 뒤에 속성 값이 누락되면 사용자 로그인 문제가 발생할 수 있습니다.