属性マッピング

属性マッピングは、AWSのような属性を持つ SSOAWS Managed Microsoft ADディレクトリに移動します。AWSSSO は Microsoft AD ディレクトリからユーザー属性を検索し、AWSSSO ユーザアトリビュート。これらのAWSSSO のユーザー属性マッピングは、クラウドアプリケーションの SAML アサーションを生成するために使用されます。クラウドアプリケーションによって、正常なシングルサインオンに必要な SAML 属性のリストは異なります。

AWSSSO は、属性のセットを属性マッピングタブにあります。AWSSSO は、これらのユーザー属性を使用して、クラウドアプリケーションに送信される SAML アサーション (SAML 属性) を設定します。次に、これらのユーザー属性が Microsoft AD ディレクトリから取得されます。詳細については、「アプリケーション内の属性をAWSSSO 属性」を参照してください。

AWSSSO は、以下の属性セットも管理します。属性マッピングセクションを参照してください。詳細については、「での属性のマッピングAWS属性に SSO をAWS Managed Microsoft ADディレクトリ」を参照してください。

サポートされているディレクトリ属性

以下の表にすべての設定を示します。AWS Managed Microsoft ADディレクトリの属性はサポートされている。ディレクトリの属性は、AWSSSO.

Microsoft AD ディレクトリでサポートされている属性
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

サポートされている Microsoft AD ディレクトリ属性の任意の組み合わせを指定して、1 つの属性にマップできます。AWSSSO. たとえば、[] ページで [] を選択します。preferredUsernameの下にある属性のユーザー属性AWSSSO列でロードバランサーの ID をクリックします。次に、それをいずれかにマップします${dir:displayname}または${dir:lastname}${dir:firstname }またはサポートされている単一の属性、またはサポートされている属性の任意の組み合わせです。

サポート対象AWSSSO 属性

以下の表にすべての設定を示します。AWSサポートされている SSO 属性。SSO 属性は、AWS Managed Microsoft ADディレクトリに移動します。後で、アプリケーション属性マッピングを設定した後、これらの同じAWSSSO 属性を使用して、そのアプリケーションによって使用される実際の属性にマッピングします。

でサポートされている属性AWSSSO
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}
${user:groups}

サポートされている外部 ID プロバイダー属性

次の表に、サポートされているすべての外部 ID プロバイダー (IdP) 属性の一覧を示します。これらの属性は、アクセスコントロールの属性がAWSSSO. SAML アサーションを使用する場合、IdP がサポートする属性を使用できます。

サポートされている IdP の属性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

デフォルトのマッピング

以下の表に示しているのは、のユーザー属性のデフォルトのマッピングです。AWSのユーザー属性に SSO を追加します。AWS Managed Microsoft ADディレクトリに移動します。このとき、AWSSSO は、[] (SSO) に示されている属性のリストのみをサポートしています。のユーザー属性AWSSSO列でロードバランサーの ID をクリックします。

のユーザー属性AWSSSO	Microsoft AD ディレクトリのこの属性へのマップ
AD_GUID	${dir:guid}
email *	${dir:windowsUpn}
familyName	${dir:lastname}
givenName	${dir:firstname}
middleName	${dir:initials}
name	${dir:displayname}
preferredUsername	${dir:displayname}
subject	${dir:windowsUpn}

* メール属性AWSSSO はディレクトリ内で一意である必要があります。そうしないと、JIT ログインプロセスが失敗する可能性があります。

必要に応じて、デフォルトのマッピングを変更したり、SAML アサーションに属性を追加したりできます。たとえば、クラウドアプリケーションのUser.EmailSAML 属性。さらに、電子メールメッセージがwindowsUpnMicrosoft AD ディレクトリの属性。このマッピングのためには、以下の 2 つの場所を変更する必要があります。AWSSSO コンソール:

1. [ディレクトリ] ページ、[属性マッピング] セクションで、ユーザー属性 email を ${dir:windowsUpn} 属性 ([Maps to this attribute in your directory (マップされるディレクトリの属性)] 列内) にマップする必要があります。

2. リポジトリの []アプリケーションページで、テーブルからアプリケーションを選択します。[属性マッピングタブに表示されます。次に、マップするUser.Emailへの属性${user:email}での属性 (この文字列値またはユーザー属性にAWSSSO列でロード)。

ディレクトリの各属性は $ {dir: 形式で指定する必要があります。AttributeName}。たとえば、Microsoft AD ディレクトリの firstname 属性は ${dir:firstname} になります。ディレクトリのすべての属性に実際の値が割り当てられていることが重要です。属性で ${dir: の後に値がないと、ユーザーのサインイン時に問題が発生します。