属性マッピング - AWS IAM Identity Center (successor to AWS Single Sign-On)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

属性マッピング

属性マッピングは、IAM Identity Center に存在する属性タイプとの同様の属性をマッピングするために使用します。AWS Managed Microsoft ADディレクトリ。IAM ID センターは、Microsoft AD ディレクトリのユーザー属性を検索し、IAM ID センターのユーザー属性にマップします。IAM Identity Center のこれらのユーザー属性マッピングは、クラウドアプリケーションの SAML アサーションを生成するために使用されます。クラウドアプリケーションによって、正常な Single Sign-On に必要な SAML 属性のリストは異なります。

IAM Identity Center は、以下の属性セットを事前に入力します。属性マッピングタブはアプリケーションの設定ページにあります。IAM Identity Center は、これらのユーザー属性を使用して、クラウドアプリケーションに送信される SAML アサーション (SAML 属性) を設定します。次に、これらのユーザー属性が Microsoft AD ディレクトリから取得されます。詳細については、「アプリケーションの属性を IAM Identity Center の属性にマップする」を参照してください。

IAM Identity Center は、以下の属性セットも管理します。属性マッピングディレクトリ設定ページのセクション。詳細については、「IAM Identity Center の属性を IAM Identity CenterAWS Managed Microsoft ADディレクトリ」を参照してください。

サポートされているディレクトリの属性

以下の表にすべての設定を示します。AWS Managed Microsoft ADサポートされているディレクトリ属性で、IAM Identity Center のユーザー属性にマップできます。

Microsoft AD ディレクトリでサポートされている属性
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、IAM Identity Center の 1 つの変更可能な属性にマップできます。たとえば、以下のいずれかを選択できます。subject属性下の属性IAM Identity Center のユーザー属性列列。そして、それを ${dir:displayname}${dir:lastname}${dir:firstname }、サポートされている単一の属性、またはサポートされている属性の任意の組み合わせにマッピングします。IAM Identity Center のユーザー属性のデフォルトマッピングの一覧は、「」を参照してください。デフォルトのマッピング

注記

IAM Identity Center の特定の属性は変更できず、デフォルトで特定の Microsoft AD ディレクトリ属性にマッピングされるため、変更できません。

使用するものListUsersまたはListGroupsAPI アクションまたはリストユーザーそしてlist-groups AWSユーザーとグループにアクセス権を割り当てる CLI コマンドAWSアカウントとアプリケーションには、次の値を指定する必要がありますAttributeValue完全修飾ドメイン名として。この値は、user@example.com 形式でなければなりません。次の例で、AttributeValueに設定されていますjanedoe@example.com

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

IAM Identity Center の属性は

以下の表では、サポートされている IAM Identity Center 属性のうち、でのユーザー属性にマップできるものをすべて列挙します。AWS Managed Microsoft ADディレクトリ。アプリケーション属性マッピングを設定すると、これらの同じ IAM Identity Center の属性を使用して、そのアプリケーションで使用されている実際の属性にマップできます。

IAM Identity Center でサポートされる属性
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

サポートされている外部 ID プロバイダ属性

以下の表では、サポートされている External ID プロバイダ (IdP) 属性のうち、構成時に使用できる属性にマップできるものをすべて列挙します。アクセスコントロールの属性IAM Identity Center で。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。

IdP でサポートされている属性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

デフォルトのマッピング

以下の表では、IAM Identity Center のユーザー属性とのAWS Managed Microsoft ADディレクトリ。IAM Identity Center は、以下の属性リストのみをサポートしますIAM Identity Center のユーザー属性列列。

注記

設定可能な AD 同期を有効にしたときに IAM Identity Center にユーザーとグループの割り当てがない場合は、次の表のデフォルトのマッピングが使用されます。これらのマッピングをカスタマイズする方法の詳細については、以下を参照してください。同期の属性マッピングを設定します

IAM Identity Center のユーザー属性 Microsoft AD ディレクトリのこの属性へのマップ
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* IAM Identity Center の email 属性はディレクトリ内で一意である必要があります。または、JIT ログインプロセスが失敗する可能性があります。

必要に応じて、デフォルトのマッピングを変更したり、SAML アサーションに属性を追加したりできます。例えば、クラウドアプリケーションでは、User.Email SAML 属性にユーザーの E メールを要求するとします。また、メールアドレスは、以下に保存されていると仮定します。windowsUpnMicrosoft AD ディレクトリにある属性。このマッピングのためには、IAM Identity Center コンソールで以下の 2 つの場所を変更する必要があります。

  1. [Directory] (ディレクトリ) ページ、[Attribute mappings] (属性マッピング) セクションで、ユーザー属性 email${dir:windowsUpn} 属性にマッピングする必要があります ([Maps to this attribute in your directory] (ディレクトリにあるこの属性にマップする) 列)。

  2. [Applications] (アプリケーション) ページで、テーブルからアプリケーションを選択します。[Attribute mappings] (属性マッピング) タブを選択します。次に、User.Email属性に${user:email}属性 (IAM アイデンティティセンターのこの文字列値またはユーザー属性にマップしますコラム)。

ディレクトリの各属性は $ {dir: 形式で指定する必要があります。AttributeName}。例えば、Microsoft AD ディレクトリの firstname 属性は ${dir:firstname} になります。ディレクトリのすべての属性に実際の値が割り当てられていることが重要です。属性で ${dir: の後に値がないと、ユーザーのサインイン時に問題が発生します。