本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
目錄的 AWS Managed Microsoft AD 屬性映射
屬性映射用於映射 IAM Identity Center 中存在的屬性類型,並在外部身分來源中具有類似屬性,例如 Google Workspace, Microsoft Active Directory (AD) 和 Okta。 IAM Identity Center 會從您的身分來源擷取使用者屬性,並將其映射至 IAM Identity Center 使用者屬性。
IAM 如果您使用的是外部身分提供者, Identity Center 會在應用程式組態頁面上的屬性映射索引標籤下為您預先填入一組屬性,例如 Google Workspace, Okta、 或 Ping 做為身分來源。 IAMIdentity Center 使用這些使用者屬性來填入傳送至應用程式的SAML聲明 (做為SAML屬性)。這些使用者屬性會接著從您的身分來源擷取。如需詳細資訊,請參閱將應用程式中的屬性映射至 IAM Identity Center 屬性。這些 IAM Identity Center 使用者屬性映射可針對您應用程式的 SAML 2.0 聲明產生。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。
IAM 如果您使用 AD 做為身分來源, Identity Center 也會在 Active Directory 組態頁面的屬性映射區段下為您管理一組屬性。如需詳細資訊,請參閱在 IAM Identity Center 和 Microsoft AD 目錄之間映射使用者屬性。
支援的目錄屬性
下表列出支援且可映射到 IAM Identity Center 中使用者屬性的所有 AWS Managed Microsoft AD 目錄屬性。
| Microsoft AD 目錄中受支援的屬性 |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
您可以指定支援的 Microsoft AD 目錄屬性的任何組合,以映射到 IAM Identity Center 中的單一可變屬性。例如,您可以在 Identity Center subject 中的使用者屬性欄下選擇屬性。 IAM 然後,將其映射到 ${dir:lastname}${dir:firstname } ${dir:displayname}或 或任何單一支援的屬性,或任何支援的屬性任意組合。如需 IAM Identity Center 中使用者屬性的預設映射清單,請參閱 預設映射。
警告
某些 IAM Identity Center 屬性無法修改,因為它們是不可變的,且預設會映射到特定的 Microsoft AD 目錄屬性。
例如,"username" 是 IAM Identity Center 中的強制性屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性, IAM Identity Center 會將該windowsUpn值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射,請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作,然後再進行變更。
如果您使用 ListUsers 或 ListGroups API 動作或 list-users 和 list-groups AWS CLI 命令將使用者和群組的存取權指派給 AWS 帳戶 應用程式,您必須將 的值指定AttributeValue為 FQDN。此值的格式必須如下:user@example.com。在下列範例中, AttributeValue 設定為 janedoe@example.com。
aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com
支援的IAM身分中心屬性
下表列出支援且可映射到 AWS Managed Microsoft AD 目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後,您可以使用這些相同的 IAM Identity Center 屬性來映射到該應用程式使用的實際屬性。
| IAM Identity Center 中支援的屬性 |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
支援的外部身分提供者屬性
下表列出所有支援的外部身分提供者 (IdP) 屬性,這些屬性可以映射到您可以在 IAM Identity Center 存取控制的屬性 中設定時使用的屬性。使用SAML聲明時,您可以使用 IdP 支援的任何屬性。
| IdP 中支援的屬性 |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
預設映射
下表列出 IAM Identity Center 中使用者屬性的預設對應至 AWS Managed Microsoft AD 目錄中的使用者屬性。 IAMIdentity Center 僅支援 IAM Identity Center 欄中使用者屬性的屬性清單。
注意
如果您在啟用可設定的 AD 同步時,在 IAM Identity Center 中沒有使用者和群組的任何指派,則會使用下表中的預設映射。如需如何自訂這些映射的資訊,請參閱 為您的同步設定屬性映射。
| IAM Identity Center 中的使用者屬性 | 對應至 Microsoft AD 目錄中的這個屬性 |
|---|---|
AD_GUID |
${dir:guid} |
email * |
${dir:windowsUpn} |
familyName |
${dir:lastname} |
givenName |
${dir:firstname} |
middleName |
${dir:initials} |
name |
${dir:displayname} |
preferredUsername |
${dir:displayname} |
subject |
${dir:windowsUpn} |
* IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。否則,JIT登入程序可能會失敗。
您可以變更預設映射,或根據您的需求將更多屬性新增至 SAML 2.0 聲明。例如,假設您的應用程式需要 User.EmailSAML2.0 屬性中的使用者電子郵件。此外,假設電子郵件地址存放在 Microsoft AD 目錄中的 windowsUpn 屬性中。若要達成此映射,您必須在 IAM Identity Center 主控台中的下列兩個位置進行變更:
-
在 Directory (目錄) 頁面的 Attribute mappings (屬性對應) 區段下,您需要將使用者屬性
email對應至${dir:windowsUpn}屬性 (位於 Maps to this attribute in your directory (對應至您目錄中的這個屬性) 欄)。 -
在應用程式頁面上,從資料表中選擇應用程式。選擇屬性映射索引標籤。然後將
User.Email屬性對應至${user:email}屬性 (在對應至此字串值或 IAM Identity Center 欄中的使用者屬性)。
請注意,您必須以 ${dir:AttributeName} 格式提供每個目錄屬性。例如,Microsoft AD 目錄中的 firstname 屬性要變為 ${dir:firstname}。請務必為每個目錄屬性指派實際值。在 ${dir: 之後缺少值的屬性將造成使用者登入問題。
