Attributzuordnungen für AWS Managed Microsoft AD directory

Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center existieren, ähnlichen Attributen in einem AWS Managed Microsoft AD Verzeichnis. IAMIdentity Center ruft Benutzerattribute aus Ihrem Microsoft AD-Verzeichnis ab und ordnet sie IAM Identity Center-Benutzerattributen zu. Diese Zuordnungen von IAM Identity Center-Benutzerattributen werden auch zum Generieren von SAML 2.0-Assertionen für Ihre Anwendungen verwendet. Jede Anwendung bestimmt die Liste der SAML 2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt.

IAMIdentity Center füllt auf der Registerkarte Attributzuordnungen auf der Konfigurationsseite Ihrer Anwendung vorab eine Reihe von Attributen für Sie aus. IAMIdentity Center verwendet diese Benutzerattribute, um SAML Assertionen (als SAML Attribute) aufzufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum von Ihrem Mircosoft AD-Verzeichnis abgerufen. Weitere Informationen finden Sie unter Ordnen Sie Attribute in Ihrer Anwendung IAM Identity Center-Attributen zu.

IAMIdentity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt Attributzuordnungen auf Ihrer Verzeichniskonfigurationsseite. Weitere Informationen finden Sie unter Zuordnung von Benutzerattributen zwischen IAM Identity Center und Microsoft AD-Verzeichnis.

Unterstützte Verzeichnisattribute

In der folgenden Tabelle sind alle aufgeführt AWS Managed Microsoft AD Verzeichnisattribute, die unterstützt werden und Benutzerattributen in IAM Identity Center zugeordnet werden können.

Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Sie können eine beliebige Kombination unterstützter Microsoft AD-Verzeichnisattribute angeben, um sie einem einzelnen veränderbaren Attribut in IAM Identity Center zuzuordnen. Sie können das subject Attribut beispielsweise in der Spalte Benutzerattribut in IAM Identity Center auswählen. Ordnen Sie es dann einem ${dir:displayname} ${dir:lastname}${dir:firstname } oder einem beliebigen unterstützten Attribut oder einer beliebigen Kombination unterstützter Attribute zu. Eine Liste der Standardzuordnungen für Benutzerattribute in IAM Identity Center finden Sie unter. Standardzuordnungen

Warnung

Bestimmte IAM Identity Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft AD-Verzeichnisattributen zugeordnet sind.

Beispielsweise ist „Benutzername“ ein obligatorisches Attribut in IAM Identity Center. Wenn Sie „Benutzername“ einem AD-Verzeichnisattribut mit einem leeren Wert zuordnen, betrachtet IAM Identity Center den windowsUpn Wert als Standardwert für „Benutzername“. Wenn Sie die Attributzuordnung für „Benutzername“ gegenüber Ihrer aktuellen Zuordnung ändern möchten, vergewissern Sie sich, dass IAM Identity Center-Datenflüsse, die von „Benutzername“ abhängig sind, weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.

Wenn Sie das verwenden ListUsers oder ListGroupsAPIAktionen oder die list-users und list-groups AWS CLIBefehle, um Benutzern und Gruppen Zugriff zu gewähren AWS-Konten und für Anwendungen müssen Sie den Wert für AttributeValue als angebenFQDN. Dieser Wert muss das folgende Format haben: user@example.com. Im folgenden Beispiel AttributeValue ist auf gesetztjanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Unterstützte IAM Identity Center-Attribute

In der folgenden Tabelle sind alle IAM Identity Center-Attribute aufgeführt, die unterstützt werden und Benutzerattributen in Ihrem zugeordnet werden können AWS Managed Microsoft AD Verzeichnis. Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM Identity Center-Attribute verwenden, um sie den tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.

Unterstützte Attribute in Identity Center IAM
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Unterstützte externe Identitätsanbieter-Attribute

In der folgenden Tabelle sind alle Attribute des externen Identitätsanbieters (IdP) aufgeführt, die unterstützt werden und die Attributen zugeordnet werden können, die Sie bei der Konfiguration Attribute für Zugriffskontrolle in IAM Identity Center verwenden können. Wenn Sie SAML Assertionen verwenden, können Sie alle Attribute verwenden, die Ihr IdP unterstützt.

Unterstützte Attribute in Ihrem IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Standardzuordnungen

In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem aufgeführt AWS Managed Microsoft AD Verzeichnis. IAMIdentity Center unterstützt nur die Liste der Attribute in der Spalte Benutzerattribut in IAM Identity Center.

Anmerkung

Wenn Sie bei der Aktivierung der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in der folgenden Tabelle verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter. Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung

Benutzerattribut in Identity Center IAM	Zuordnung zu diesem Attribut im Microsoft AD-Verzeichnis
AD_GUID	${dir:guid}
email *	${dir:windowsUpn}
familyName	${dir:lastname}
givenName	${dir:firstname}
middleName	${dir:initials}
name	${dir:displayname}
preferredUsername	${dir:displayname}
subject	${dir:windowsUpn}

* Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein. Andernfalls könnte der JIT Anmeldevorgang fehlschlagen.

Sie können die Standardzuordnungen ändern oder der SAML 2.0-Assertion je nach Ihren Anforderungen weitere Attribute hinzufügen. Gehen Sie beispielsweise davon aus, dass Ihre Anwendung die E-Mail-Adresse des Benutzers im 2.0-Attribut benötigt. User.Email SAML Gehen Sie außerdem davon aus, dass E-Mail-Adressen im windowsUpn Attribut in Ihrem Microsoft AD-Verzeichnis gespeichert sind. Um diese Zuordnung zu erreichen, müssen Sie an den folgenden beiden Stellen in der IAM Identity Center-Konsole Änderungen vornehmen:

1. Ordnen Sie auf der Seite Directory (Verzeichnis) im Bereich Attribute mappings (Attributzuordnungen) das Benutzerattribut email dem Attribut ${dir:windowsUpn} zu (in der Spalte Maps to this attribute in your directory (Zuordnung zum Attribut im Verzeichnis)).

2. Wählen Sie auf der Seite Anwendungen die Anwendung aus der Tabelle aus. Wählen Sie die Registerkarte Attributzuordnungen. Ordnen Sie dann das User.Email Attribut dem ${user:email}Attribut zu (in der Spalte Zuordnen zu diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center).

Beachten Sie, dass Sie jedes Verzeichnisattribut in der Form $ {dir:AttributeName} angeben müssen. Das Attribut firstname in Ihrem Microsoft AD-Verzeichnis wird beispielsweise zu ${dir:firstname}. Es ist wichtig, dass jedem Verzeichnisattribut ein tatsächlicher Wert zugewiesen wird. Attribute, die nach ${dir: keinen Wert haben, verursachen Probleme bei der Benutzeranmeldung.