Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Attributzuordnungen für AWS Managed Microsoft AD directory
Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center existieren, ähnlichen Attributen in einem AWS Managed Microsoft AD Verzeichnis. IAMIdentity Center ruft Benutzerattribute aus Ihrem Microsoft AD-Verzeichnis ab und ordnet sie IAM Identity Center-Benutzerattributen zu. Diese Zuordnungen von IAM Identity Center-Benutzerattributen werden auch zum Generieren von SAML 2.0-Assertionen für Ihre Anwendungen verwendet. Jede Anwendung bestimmt die Liste der SAML 2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt.
IAMIdentity Center füllt auf der Registerkarte Attributzuordnungen auf der Konfigurationsseite Ihrer Anwendung vorab eine Reihe von Attributen für Sie aus. IAMIdentity Center verwendet diese Benutzerattribute, um SAML Assertionen (als SAML Attribute) aufzufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum von Ihrem Mircosoft AD-Verzeichnis abgerufen. Weitere Informationen finden Sie unter Ordnen Sie Attribute in Ihrer Anwendung IAM Identity Center-Attributen zu.
IAMIdentity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt Attributzuordnungen auf Ihrer Verzeichniskonfigurationsseite. Weitere Informationen finden Sie unter Zuordnung von Benutzerattributen zwischen IAM Identity Center und Microsoft AD-Verzeichnis.
Unterstützte Verzeichnisattribute
In der folgenden Tabelle sind alle aufgeführt AWS Managed Microsoft AD Verzeichnisattribute, die unterstützt werden und Benutzerattributen in IAM Identity Center zugeordnet werden können.
Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis |
---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
Sie können eine beliebige Kombination unterstützter Microsoft AD-Verzeichnisattribute angeben, um sie einem einzelnen veränderbaren Attribut in IAM Identity Center zuzuordnen. Sie können das subject
Attribut beispielsweise in der Spalte Benutzerattribut in IAM Identity Center auswählen. Ordnen Sie es dann einem ${dir:displayname}
${dir:lastname}${dir:firstname
}
oder einem beliebigen unterstützten Attribut oder einer beliebigen Kombination unterstützter Attribute zu. Eine Liste der Standardzuordnungen für Benutzerattribute in IAM Identity Center finden Sie unter. Standardzuordnungen
Warnung
Bestimmte IAM Identity Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft AD-Verzeichnisattributen zugeordnet sind.
Beispielsweise ist „Benutzername“ ein obligatorisches Attribut in IAM Identity Center. Wenn Sie „Benutzername“ einem AD-Verzeichnisattribut mit einem leeren Wert zuordnen, betrachtet IAM Identity Center den windowsUpn
Wert als Standardwert für „Benutzername“. Wenn Sie die Attributzuordnung für „Benutzername“ gegenüber Ihrer aktuellen Zuordnung ändern möchten, vergewissern Sie sich, dass IAM Identity Center-Datenflüsse, die von „Benutzername“ abhängig sind, weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.
Wenn Sie das verwenden ListUsers oder ListGroupsAPIAktionen oder die list-users und list-groups AWS CLIBefehle, um Benutzern und Gruppen Zugriff zu gewähren AWS-Konten und für Anwendungen müssen Sie den Wert für AttributeValue
als angebenFQDN. Dieser Wert muss das folgende Format haben: user@example.com. Im folgenden Beispiel AttributeValue
ist auf gesetztjanedoe@example.com
.
aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com
Unterstützte IAM Identity Center-Attribute
In der folgenden Tabelle sind alle IAM Identity Center-Attribute aufgeführt, die unterstützt werden und Benutzerattributen in Ihrem zugeordnet werden können AWS Managed Microsoft AD Verzeichnis. Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM Identity Center-Attribute verwenden, um sie den tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.
Unterstützte Attribute in Identity Center IAM |
---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
Unterstützte externe Identitätsanbieter-Attribute
In der folgenden Tabelle sind alle Attribute des externen Identitätsanbieters (IdP) aufgeführt, die unterstützt werden und die Attributen zugeordnet werden können, die Sie bei der Konfiguration Attribute für Zugriffskontrolle in IAM Identity Center verwenden können. Wenn Sie SAML Assertionen verwenden, können Sie alle Attribute verwenden, die Ihr IdP unterstützt.
Unterstützte Attribute in Ihrem IdP |
---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
Standardzuordnungen
In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem aufgeführt AWS Managed Microsoft AD Verzeichnis. IAMIdentity Center unterstützt nur die Liste der Attribute in der Spalte Benutzerattribut in IAM Identity Center.
Anmerkung
Wenn Sie bei der Aktivierung der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in der folgenden Tabelle verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter. Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung
Benutzerattribut in Identity Center IAM | Zuordnung zu diesem Attribut im Microsoft AD-Verzeichnis |
---|---|
AD_GUID |
${dir:guid} |
email * |
${dir:windowsUpn} |
familyName |
${dir:lastname} |
givenName |
${dir:firstname} |
middleName |
${dir:initials} |
name |
${dir:displayname} |
preferredUsername |
${dir:displayname} |
subject |
${dir:windowsUpn} |
* Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein. Andernfalls könnte der JIT Anmeldevorgang fehlschlagen.
Sie können die Standardzuordnungen ändern oder der SAML 2.0-Assertion je nach Ihren Anforderungen weitere Attribute hinzufügen. Gehen Sie beispielsweise davon aus, dass Ihre Anwendung die E-Mail-Adresse des Benutzers im 2.0-Attribut benötigt. User.Email
SAML Gehen Sie außerdem davon aus, dass E-Mail-Adressen im windowsUpn
Attribut in Ihrem Microsoft AD-Verzeichnis gespeichert sind. Um diese Zuordnung zu erreichen, müssen Sie an den folgenden beiden Stellen in der IAM Identity Center-Konsole Änderungen vornehmen:
-
Ordnen Sie auf der Seite Directory (Verzeichnis) im Bereich Attribute mappings (Attributzuordnungen) das Benutzerattribut
email
dem Attribut${dir:windowsUpn}
zu (in der Spalte Maps to this attribute in your directory (Zuordnung zum Attribut im Verzeichnis)). -
Wählen Sie auf der Seite Anwendungen die Anwendung aus der Tabelle aus. Wählen Sie die Registerkarte Attributzuordnungen. Ordnen Sie dann das
User.Email
Attribut dem${user:email}
Attribut zu (in der Spalte Zuordnen zu diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center).
Beachten Sie, dass Sie jedes Verzeichnisattribut in der Form $ {dir:AttributeName
} angeben müssen. Das Attribut firstname
in Ihrem Microsoft AD-Verzeichnis wird beispielsweise zu ${dir:firstname}
. Es ist wichtig, dass jedem Verzeichnisattribut ein tatsächlicher Wert zugewiesen wird. Attribute, die nach ${dir:
keinen Wert haben, verursachen Probleme bei der Benutzeranmeldung.