本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Managed Microsoft AD 目录的属性映射
属性映射用于将 Identity Center 中存在的属性类型与外部IAM身份源中的类似属性进行映射,例如 Google Workspace, Microsoft Active Directory (AD),以及 Okta。 IAMIdentity Center 从您的身份源检索用户属性并将其映射到 Ident IAM ity Center 用户属性。
IAM如果您使用的是外部身份提供商,例如,Identity Center 会在应用程序配置页面上的 “属性映射” 选项卡下为您预填一组属性 Google Workspace, Okta,或 Ping 作为身份来源。 IAMIdentity Center 使用这些用户属性来填充发送到应用程序的SAML断言(作为SAML属性)。反过来,系统会从身份源中检索这些用户属性。有关更多信息,请参阅 将应用程序中的属性映射到 Ident IAM ity Center 属性。可以为您的应用程序的 SAML 2.0 断言生成这些 Ident IAM ity Center 用户属性映射。每个应用程序都确定成功单点登录所需的 SAML 2.0 属性列表。
IAM如果您使用 AD 作为身份源,Identity Center 还会在 A ctive Directory 配置页面的 “属性映射” 部分下为您管理一组属性。有关更多信息,请参阅 在IAM身份中心和 Microsoft AD 目录之间映射用户属性。
支持的目录属性属性
下表列出了在 Identity Center 中支持且可以映射到 Ident IAM ity Center 中的用户属性的所有 AWS Managed Microsoft AD 目录属性。
| Microsoft AD 目录支持的属性 |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
您可以指定支持的 Microsoft AD 目录属性的任意组合,以映射到 Ident IAM ity Center 中的单个可变属性。例如,您可以在 “IAM身份中心” 列的 “用户” subject 属性下选择属性。然后将其映射到 ${dir:displayname} 或 ${dir:lastname}${dir:firstname
} 或任何单个受支持的属性或受支持属性的任意组合。有关 Ident IAM ity Center 中用户属性的默认映射列表,请参阅默认映射。
警告
某些IAM身份中心属性无法修改,因为它们是不可变的,并且默认映射到特定的 Microsoft AD 目录属性。
例如,“用户名” 是 Ident IAM ity Center 中的必填属性。如果您将 “用户名” 映射到值为空的 AD 目录属性,Ident IAM ity Center 会将该windowsUpn值视为 “用户名” 的默认值。如果要从当前映射中更改 “用户名” 的属性映射,请在进行更改之前,IAM确认依赖于 “用户名” 的 Identity Center 流程将继续按预期运行。
如果你使用 ListUsers 或 ListGroupsAPI动作或 list-users 和 list-groups AWS CLI用于向用户和组分配应用程序访问权限的命令,必须将的值指定AttributeValue为FQDN。 AWS 账户 该值必须采用以下格式:user@example.com。在以下示例中,AttributeValue 设置为 janedoe@example.com。
aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com
支持的IAM身份中心属性
下表列出了所有支持的 Ident IAM ity Center 属性,这些属性可以映射到 AWS Managed Microsoft AD 目录中的用户属性。设置应用程序属性映射后,您可以使用这些相同的 Ident IAM ity Center 属性映射到该应用程序使用的实际属性。
| IAM身份中心支持的属性 |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
支持的外部身份提供商属性
下表列出了所有受支持的外部身份提供商 (IdP) 属性,这些属性可以映射到在 Id IAM entity Center 访问控制属性 中配置时可以使用的属性。使用SAML断言时,您可以使用您的 IdP 支持的任何属性。
| IdP 中支持的属性 |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
默认映射
下表列出了 Ident IAM ity Center 中用户属性与 AWS Managed Microsoft AD 目录中用户属性的默认映射。 IAMIdentity Center 仅支持 “IAM身份中心” 列的用户属性中的属性列表。
注意
如果您在启用可配置的 AD 同步时在 Ident IAM ity Center 中没有为用户和群组分配任何任务,则使用下表中的默认映射。有关如何自定义这些映射的信息,请参阅 配置用于同步的属性映射。
| IAM身份中心中的用户属性 | 映射到 Microsoft AD 目录中的这个属性 |
|---|---|
AD_GUID |
${dir:guid} |
email * |
${dir:windowsUpn} |
familyName |
${dir:lastname} |
givenName |
${dir:firstname} |
middleName |
${dir:initials} |
name |
${dir:displayname} |
preferredUsername |
${dir:displayname} |
subject |
${dir:windowsUpn} |
* Ident IAM ity Center 中的电子邮件属性在目录中必须是唯一的。否则,JIT登录过程可能会失败。
您可以根据需要更改默认映射或向 SAML 2.0 断言添加更多属性。例如,假设您的应用程序在 User.Email SAML 2.0 属性中需要用户的电子邮件。此外,假设电子邮件地址存储在 Microsoft AD 目录的 windowsUpn 属性中。要实现此映射,您必须在 Ident IAM ity Center 控制台的以下两个位置进行更改:
-
在 Directory (目录) 页面的 Attribute mappings (属性映射) 部分下方,您需要将用户属性
email映射到${dir:windowsUpn}属性 (位于 Maps to this attribute in your directory (映射到目录中的这个属性) 列) -
在应用程序页面上,从表中选择应用程序。选择属性映射选项卡。然后将该
User.Email属性映射到该${user:email}属性(在 “映射到此字符串值” 或 “IAM身份中心” 列中的用户属性中)。
请注意,您必须以 ${dir:AttributeName} 的形式提供每个目录属性。例如,Microsoft AD 目录中的 firstname 属性将变为 ${dir:firstname}。重要的是,每个目录属性都会获得一个实际值。${dir: 之后缺失值的属性将导致用户登录问题。
