As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Mapeamentos de atributos para diretório AWS Managed Microsoft AD
Os mapeamentos de atributos são usados para mapear tipos de atributos que existem no IAM Identity Center com atributos semelhantes em um AWS Managed Microsoft AD diretório. O IAM Identity Center recupera os atributos do usuário do seu diretório do Microsoft AD e os mapeia para os atributos do usuário do IAM Identity Center. Esses mapeamentos de atributos de usuário do IAM Identity Center também são usados para gerar asserções SAML 2.0 para as aplicações. Cada aplicação determina a lista de atributos SAML 2.0 necessários para que o logon único tenha sucesso.
O IAM Identity Center preenche previamente um conjunto de atributos para você na guia Mapeamentos de atributo encontrada na página de configuração do seu aplicativo. O IAM Identity Center usa esses atributos de usuário para preencher as asserções SAML (como atributos SAML) que são enviadas à aplicação. Por sua vez, esses atributos de usuário são recuperados de seu diretório do Microsoft AD. Para ter mais informações, consulte Mapear atributos em sua aplicação para atributos do IAM Identity Center.
O IAM Identity Center também gerencia um conjunto de atributos para você na seção Mapeamentos de atributo da página de configuração do diretório. Para ter mais informações, consulte Mapeie atributos no IAM Identity Center para atributos em seu AWS Managed Microsoft AD diretório.
Atributos de diretório compatíveis
A tabela a seguir lista todos os atributos de AWS Managed Microsoft AD diretório que são compatíveis e que podem ser mapeados para os atributos do usuário no IAM Identity Center.
| Atributos compatíveis em seu diretório do Microsoft AD |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
Você pode especificar qualquer combinação de atributos de diretório do Microsoft AD compatíveis para mapear para um único atributo no IAM Identity Center. Por exemplo, você pode escolher o atributo subject na coluna Atributo de usuário no IAM Identity Center. Em seguida, mapeie-o para ${dir:displayname} ou ${dir:lastname}${dir:firstname
} ou qualquer atributo único suportado ou qualquer combinação arbitrária de atributos suportados. Para obter uma lista dos mapeamentos padrão para atributos do usuário no IAM Identity Center, consulte Mapeamentos padrão.
Atenção
Alguns atributos do IAM Identity Center não podem ser modificados porque são imutáveis e mapeados por padrão para atributos específicos do diretório Microsoft AD.
Por exemplo, “nome de usuário” é um atributo obrigatório no IAM Identity Center. Se você mapear “nome de usuário” para um atributo de diretório do AD com um valor vazio, o IAM Identity Center considerará o windowsUpn valor como o valor padrão para “nome de usuário”. Se você quiser alterar o mapeamento de atributos para “nome de usuário” do mapeamento atual, confirme se os fluxos do IAM Identity Center com dependência de “nome de usuário” continuarão funcionando conforme o esperado, antes de fazer a alteração.
Se você usar as ações da ListGroupsAPI ListUsersou os comandos list-userse da list-groups AWS CLI para atribuir aos usuários e grupos acesso aos Contas da AWS aplicativos, você deverá especificar o valor de AttributeValue como um FQDN. Esse valor deve estar no seguinte formato: user@example.com. No exemplo a seguir, AttributeValue é definido como janedoe@example.com.
aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com
Atributos do Centro de Identidade do IAM compatíveis
A tabela a seguir lista todos os atributos do IAM Identity Center que são compatíveis e que podem ser mapeados para os atributos do usuário em seu AWS Managed Microsoft AD diretório. Posteriormente, quando você configurar os mapeamentos de atributos de aplicativo, poderá usar os mesmos atributos do IAM Identity Center para mapear para atributos reais usados por esse aplicativo.
| Atributos do Centro de Identidade do IAM compatíveis |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
Atributos de provedor de identidade externo compatíveis
A tabela a seguir lista todos os atributos do provedor de identidades (IdP) externo que são compatíveis e que podem ser mapeados para atributos que você pode usar ao configurar Atributos para controle de acesso no IAM Identity Center. Ao usar asserções SAML, você pode usar quaisquer atributos compatíveis com seu IdP.
| Atributos compatíveis em seu IdP |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
Mapeamentos padrão
A tabela a seguir lista os mapeamentos padrão dos atributos do usuário no IAM Identity Center para os atributos do usuário no seu AWS Managed Microsoft AD diretório. O IAM Identity Center só é compatível com a lista de atributos na coluna User attribute in IAM Identity Center.
nota
Se você não tiver nenhuma atribuição para seus usuários e grupos no IAM Identity Center ao ativar a sincronização configurável do AD, os mapeamentos padrão na tabela a seguir serão usados. Para obter informações sobre como personalizar esses mapeamentos, consulte Configure mapeamentos de atributos para sua sincronização.
| Atributo de usuário no IAM Identity Center | Mapeia para este atributo em seu diretório do Microsoft AD |
|---|---|
AD_GUID |
${dir:guid} |
email * |
${dir:windowsUpn} |
familyName |
${dir:lastname} |
givenName |
${dir:firstname} |
middleName |
${dir:initials} |
name |
${dir:displayname} |
preferredUsername |
${dir:displayname} |
subject |
${dir:windowsUpn} |
* O atributo de e-mail no IAM Identity Center deve ser exclusivo dentro do diretório. Caso contrário, o processo de login do JIT poderá falhar.
Você pode alterar os mapeamentos padrão ou adicionar mais atributos às asserções SAML 2.0 de acordo com suas necessidades. Por exemplo, suponha que sua aplicação exija que o e-mail do usuário no atributo User.Email do SAML 2.0. Além disso, suponha que os endereços de e-mail estejam armazenados no atributo windowsUpn em seu diretório do Microsoft AD. Para conseguir esse mapeamento, você deve fazer alterações nos dois lugares a seguir no console do IAM Identity Center:
-
Na página Directory, na seção Attribute mappings (Mapeamentos de atributos), você precisaria mapear o atributo de usuário
emailpara o atributo${dir:windowsUpn}(na coluna Maps to this attribute in your directory [Mapeia para este atributo em seu diretório]) -
Na página Aplicativos, escolha o nome do aplicativo da tabela. Escolha a guia Attribute mapping. Em seguida, mapeie o
User.Emailatributo para o${user:email}atributo (na coluna Mapas para esse valor de string ou atributo de usuário na coluna IAM Identity Center).
Observe que é necessário fornecer cada atributo de diretório no formato ${dir:AttributeName}. Por exemplo, o atributo firstname em seu diretório do Microsoft AD torna-se ${dir:firstname}. É importante que cada atributo de diretório tenha um valor real atribuído. Os atributos que não tiverem um valor depois de ${dir: provocarão problemas de login de usuário.
