屬性對應 AWS Managed Microsoft AD directory - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

屬性對應 AWS Managed Microsoft AD directory

屬性對應可用來對應IAM身分識別中心中存在的屬性類型與類似屬性 AWS Managed Microsoft AD 目錄。IAM身分識別中心會從 Microsoft AD 目錄擷取使用者屬性,並將其對應至IAM身分識別中心使用者屬性。這些 IAM Identity Center 使用者屬性對應也可用來為您的應用程式產生 SAML 2.0 宣告。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。

IAMIdentity Center 會在應用程式的組態頁面上找到的「屬性對應」索引標籤下,為您預先填入一組屬性。IAMIdentity Center 會使用這些使用者屬性來填入傳送至應用程式的SAML宣告 (作為SAML屬性)。系統接下來從您的 Microsoft AD 目錄擷取這些使用者屬性。如需詳細資訊,請參閱將應用程式中的屬性映射至 IAM Identity Center 屬性

IAMIdentity Center 也會在目錄組態頁面的「屬性對應」區段下為您管理一組屬性。如需詳細資訊,請參閱在IAM識別中心和 Microsoft AD 目錄之間對應使用者屬性

支援的目錄屬性

下表列出了所有 AWS Managed Microsoft AD 受支援且可對應至IAM身分識別中心中使用者屬性的目錄屬性。

Microsoft AD 目錄中受支援的屬性
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

您可以指定任何支援 Microsoft AD 目錄屬性的組合,以對應至IAM身分識別中心中的單一可變屬性。例如,您可以在IAM身分識別中心欄的使用者屬性下選擇屬性。subject然後將其映射到${dir:displayname}${dir:lastname}${dir:firstname }或任何單個支持的屬性或任何支持屬性的任意組合。如需 IAM Identity Center 中使用者屬性的預設對應清單,請參閱預設對映

警告

某些IAM身分識別中心屬性無法修改,因為它們是不可變的,而且預設會對應至特定 Microsoft AD 目錄屬性。

例如,「使用者名稱」是IAM身分識別中心中的必要屬性。如果您將「使用者名稱」對應至具有空值的 AD 目錄屬性,IAM身分識別中心會將該windowsUpn值視為「使用者名稱」的預設值。如果您要從目前的對應變更「使用者名稱」的屬性對應,請在進行變更之前,確認 IAM Identity Center 具有「使用者名稱」相依性的 Identity Center 流程將繼續如預期般運作。

如果您使用 ListUsersListGroupsAPI動作或 list-userslist-groups AWS CLI指派使用者和群組存取權的指令 AWS 帳戶 和應用程式,您必須將的值指定AttributeValue為FQDN. 此值的格式必須如下:user@example.com。在下列範例中AttributeValue,設定為janedoe@example.com

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

支援的IAM識別中心屬性

下表列出所有支援的 IAM Identity Center 屬性,可對應至您的使用者屬性 AWS Managed Microsoft AD 目錄。設定應用程式屬性對應之後,您可以使用這些相同的 IAM Identity Center 屬性來對應至該應用程式使用的實際屬性。

IAM身分識別中心支援的屬性
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

支援的外部身分識別提供

下表列出所有支援的外部身分識別提供者 (IdP) 屬性,這些屬性可對應至您存取控制的屬性在 I IAM dentity Center 中設定時可使用的屬性。使用SAML宣告時,您可以使用 IdP 支援的任何屬性。

IdP 中支援的屬性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

預設對映

下表列出 IAM Identity Center 中使用者屬性與您的使用者屬性的預設對應 AWS Managed Microsoft AD 目錄。IAM身分識別中心僅支援身分識別中心欄中「使用者」屬IAM性中的屬性清單。

注意

如果在啟用可設定的 AD 同步時,IAMIdentity Center 中沒有任何使用者和群組的指派,則會使用下表中的預設對應。如需有關如何自訂這些對映的資訊,請參閱設定同步的屬性對應

IAM識別中心中的使用者屬性 對應至 Microsoft AD 目錄中的這個屬性
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* IAM 身分識別中心中的電子郵件屬性在目錄中必須是唯一的。否則,JIT登入程序可能會失敗。

您可以根據您的需求變更預設對應,或將更多屬性新增至 SAML 2.0 宣告。例如,假設您的應用程式需要 User.Email SAML 2.0 屬性中的使用者電子郵件。此外,假設電子郵件地址儲存在 Microsoft AD 目錄中的windowsUpn屬性中。若要實現此對應,您必須在 IAM Identity Center 主控台中的下列兩個位置進行變更:

  1. Directory (目錄) 頁面的 Attribute mappings (屬性對應) 區段下,您需要將使用者屬性 email 對應至 ${dir:windowsUpn} 屬性 (位於 Maps to this attribute in your directory (對應至您目錄中的這個屬性) 欄)。

  2. 在 [應用程式] 頁面上,從表格中選擇應用程式。選擇「屬性對應」頁籤。然後將屬性對應至User.Email${user:email}性 (在 [對應至此字串值] 或 [IAM身分識別中心] 欄中的使用者屬性中)。

請注意,您必須以 $ {dir:AttributeName} 格式提供每個目錄屬性。例如,Microsoft AD 目錄中的 firstname 屬性要變為 ${dir:firstname}。請務必為每個目錄屬性指派實際值。在 ${dir: 之後缺少值的屬性將造成使用者登入問題。