属性マッピング - AWS Single Sign-On

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

属性マッピング

属性マッピングは、AWS SSO に存在する属性タイプと AWS Managed Microsoft AD ディレクトリに存在する同様の属性をマッピングするために使用します。AWSSSO は、Microsoft AD ディレクトリのユーザー属性を検索し、AWS SSO のユーザー属性にマップします。AWS SSO のこれらのユーザー属性マッピングは、クラウドアプリケーションの SAML アサーションを生成するために使用されます。クラウドアプリケーションによって、正常な Single Sign-On に必要な SAML 属性のリストは異なります。

AWS SSO は、アプリケーションの設定ページの [Attribute mappings] (属性マッピング) タブから一連の属性を事前に取得します。AWSSSO は、これらのユーザー属性を使用して、クラウドアプリケーションに送信される SAML アサーション (SAML 属性) を設定します。次に、これらのユーザー属性が Microsoft AD ディレクトリから取得されます。詳細については、「アプリケーション内の属性をにマッピングするAWSSSO 属性」を参照してください。

AWS SSO は、ディレクトリの設定ページの [Attribute mappings] (属性マッピング) セクションにある一連の属性も管理します。詳細については、「AWS SSO の属性を AWS Managed Microsoft AD ディレクトリの属性にマップする」を参照してください。

サポートされているディレクトリの属性

以下の表では、サポートされている AWS Managed Microsoft AD ディレクトリ 属性のうち、AWS SSO のユーザー属性にマップできるものをすべて列挙します。

Microsoft AD ディレクトリでサポートされている属性
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、の 1 つの変更可能な属性にマップできます。AWSSSO。たとえば、subject下の属性のユーザー属性AWSSSO列でロードバランサーの ID をクリックします。そして、それを ${dir:displayname}${dir:lastname}${dir:firstname }、サポートされている単一の属性、またはサポートされている属性の任意の組み合わせにマッピングします。のユーザー属性のデフォルトマッピングの一覧を参照してくださいAWSSSO、以下を参照してください。デフォルトのマッピング

注記

確かAWSSSO 属性は不変であり、既定で特定の Microsoft AD ディレクトリ属性にマッピングされるため、変更できません。

ListUsersまたはListGroupsAPI アクション、またはリストユーザーそしてlist-groups AWSユーザおよびグループへのアクセス権を割り当てる CLI コマンドAWSアカウントとアプリケーションに対して、次の値を指定する必要があります。AttributeValueFQDNとして。この値は、user@example.com の形式で指定する必要があります。次の例ではAttributeValueは、 に設定されます。janedoe@example.com

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

サポートされている AWS SSO 属性

以下の表では、サポートされている AWS Managed Microsoft AD SSO 属性のうち、AWS ディレクトリのユーザー属性にマップできるものをすべて列挙します。アプリケーションの属性マッピングを設定すると、これらと同じものを使用できます。AWSSSO 属性は、そのアプリケーションで使用される実際の属性にマッピングします。

サポートされている AWS SSO の属性
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

サポートされている外部 ID プロバイダ属性

以下の表では、サポートされているすべての外部 ID プロバイダ (IdP) 属性と、AWS SSO で アクセスコントロールの属性 を構成するときに使用できる属性にマッピングできるものをリストアップしたものです。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。

IdP でサポートされている属性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

デフォルトのマッピング

次の表は、のユーザー属性のデフォルトのマッピングを示しています。AWSのユーザ属性への SSOAWS Managed Microsoft ADディレクトリ。AWSSSO では、属性のリストだけがサポートされます。のユーザー属性AWSSSO列でロードバランサーの ID をクリックします。

注記

のユーザーおよびグループの割り当てがない場合AWSSSO 設定可能な AD 同期をイネーブルにすると、次の表に示すデフォルトのマッピングが使用されます。これらのマッピングをカスタマイズする方法の詳細については、「」を参照してください同期の属性マッピングを設定する

AWS SSO のユーザー属性 Microsoft AD ディレクトリのこの属性へのマップ
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* AWS SSO の email 属性はディレクトリ内で一意である必要があります。または、JIT ログインプロセスが失敗する可能性があります。

必要に応じて、デフォルトのマッピングを変更したり、SAML アサーションに属性を追加したりできます。例えば、クラウドアプリケーションでは、User.Email SAML 属性にユーザーの E メールを要求するとします。また、電子メールアドレスがwindowsUpn属性は Microsoft AD ディレクトリにあります。このマッピングのためには、AWS SSO コンソールで以下の 2 つの場所を変更する必要があります。

  1. [Directory] (ディレクトリ) ページ、[Attribute mappings] (属性マッピング) セクションで、ユーザー属性 email${dir:windowsUpn} 属性にマッピングする必要があります ([Maps to this attribute in your directory] (ディレクトリにあるこの属性にマップする) 列)。

  2. [Applications] (アプリケーション) ページで、テーブルからアプリケーションを選択します。[Attribute mappings] (属性マッピング) タブを選択します。次に、User.Emailへの属性${user:email}属性 (で内のこの文字列値またはユーザー属性にマップします。AWSSSO列)。

ディレクトリの各属性は $ {dir: 形式で指定する必要があります。AttributeName}。例えば、Microsoft AD ディレクトリの firstname 属性は ${dir:firstname} になります。ディレクトリのすべての属性に実際の値が割り当てられていることが重要です。属性で ${dir: の後に値がないと、ユーザーのサインイン時に問題が発生します。