Mapeamentos de atributos para AWS Managed Microsoft AD directory

Os mapeamentos de atributos são usados para mapear os tipos de atributos que existem no IAM Identity Center com atributos semelhantes em um AWS Managed Microsoft AD diretório. IAMO Identity Center recupera os atributos do usuário do seu diretório do Microsoft AD e os mapeia para os atributos do usuário do IAM Identity Center. Esses mapeamentos de atributos de usuário do IAM Identity Center também são usados para gerar asserções SAML 2.0 para seus aplicativos. Cada aplicativo determina a lista de atributos SAML 2.0 necessários para um login único bem-sucedido.

IAMO Identity Center preenche previamente um conjunto de atributos para você na guia Mapeamentos de atributos encontrada na página de configuração do seu aplicativo. IAMO Identity Center usa esses atributos do usuário para preencher SAML as afirmações (como SAML atributos) que são enviadas ao aplicativo. Por sua vez, esses atributos de usuário são recuperados de seu diretório do Microsoft AD. Para obter mais informações, consulte Mapeie os atributos em seu aplicativo para os atributos do IAM Identity Center.

IAMO Identity Center também gerencia um conjunto de atributos para você na seção Mapeamentos de atributos da página de configuração do diretório. Para obter mais informações, consulte Mapeando atributos do usuário entre o IAM Identity Center e o diretório do Microsoft AD.

Atributos de diretório compatíveis

A tabela a seguir lista todos AWS Managed Microsoft AD atributos de diretório que são suportados e que podem ser mapeados para atributos do usuário no IAM Identity Center.

Atributos compatíveis em seu diretório do Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Você pode especificar qualquer combinação de atributos de diretório compatíveis do Microsoft AD para mapear para um único atributo mutável no IAM Identity Center. Por exemplo, você pode escolher o subject atributo no atributo Usuário na coluna IAM Identity Center. Em seguida, mapeie-o para ${dir:displayname} ou ${dir:lastname}${dir:firstname } ou qualquer atributo único suportado ou qualquer combinação arbitrária de atributos suportados. Para obter uma lista dos mapeamentos padrão para atributos do usuário no IAM Identity Center, consulte. Mapeamentos padrão

Atenção

Alguns atributos do IAM Identity Center não podem ser modificados porque são imutáveis e mapeados por padrão para atributos específicos do diretório Microsoft AD.

Por exemplo, “nome de usuário” é um atributo obrigatório no IAM Identity Center. Se você mapear “nome de usuário” para um atributo de diretório do AD com um valor vazio, o IAM Identity Center considerará o windowsUpn valor como o valor padrão para “nome de usuário”. Se você quiser alterar o mapeamento de atributos para “nome de usuário” a partir do mapeamento atual, confirme se os fluxos do IAM Identity Center com dependência de “nome de usuário” continuarão funcionando conforme o esperado, antes de fazer a alteração.

Se você usar o ListUsers ou ListGroupsAPIações ou o list-users e list-groups AWS CLIcomandos para atribuir acesso a usuários e grupos Contas da AWS e para aplicativos, você deve especificar o valor de AttributeValue comoFQDN. Esse valor deve estar no seguinte formato: user@example.com. No exemplo a seguir, AttributeValue é definido como janedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Atributos do IAM Identity Center compatíveis

A tabela a seguir lista todos os atributos do IAM Identity Center que são suportados e que podem ser mapeados para os atributos do usuário em seu AWS Managed Microsoft AD diretório. Depois de configurar os mapeamentos de atributos do aplicativo, você pode usar esses mesmos atributos do IAM Identity Center para mapear os atributos reais usados pelo aplicativo.

Atributos suportados no IAM Identity Center
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Atributos de provedor de identidade externo compatíveis

A tabela a seguir lista todos os atributos do provedor de identidade externo (IdP) que são suportados e que podem ser mapeados para atributos que você pode usar ao configurar Atributos para controle de acesso no Identity Center. IAM Ao usar SAML asserções, você pode usar os atributos que seu IdP suporta.

Atributos compatíveis em seu IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Mapeamentos padrão

A tabela a seguir lista os mapeamentos padrão dos atributos do usuário no IAM Identity Center com os atributos do usuário no seu AWS Managed Microsoft AD diretório. IAMO Identity Center suporta somente a lista de atributos na coluna Atributo do usuário no IAM Identity Center.

nota

Se você não tiver nenhuma atribuição para seus usuários e grupos no IAM Identity Center ao ativar a sincronização configurável do AD, os mapeamentos padrão na tabela a seguir serão usados. Para obter informações sobre como personalizar esses mapeamentos, consulte Configure mapeamentos de atributos para sua sincronização.

Atributo do usuário no IAM Identity Center	Mapeia para este atributo em seu diretório do Microsoft AD
AD_GUID	${dir:guid}
email *	${dir:windowsUpn}
familyName	${dir:lastname}
givenName	${dir:firstname}
middleName	${dir:initials}
name	${dir:displayname}
preferredUsername	${dir:displayname}
subject	${dir:windowsUpn}

* O atributo de e-mail no IAM Identity Center deve ser exclusivo dentro do diretório. Caso contrário, o processo de JIT login poderá falhar.

Você pode alterar os mapeamentos padrão ou adicionar mais atributos à declaração SAML 2.0 com base em seus requisitos. Por exemplo, suponha que seu aplicativo exija o e-mail do usuário no atributo User.Email SAML 2.0. Além disso, suponha que os endereços de e-mail estejam armazenados no atributo windowsUpn em seu diretório do Microsoft AD. Para realizar esse mapeamento, você deve fazer alterações nos dois locais a seguir no console do IAM Identity Center:

1. Na página Directory, na seção Attribute mappings (Mapeamentos de atributos), você precisaria mapear o atributo de usuário email para o atributo ${dir:windowsUpn} (na coluna Maps to this attribute in your directory [Mapeia para este atributo em seu diretório])

2. Na página Aplicativos, escolha o nome do aplicativo da tabela. Escolha a guia Attribute mapping. Em seguida, User.Email mapeie o atributo para o ${user:email}atributo (na coluna Mapas para esse valor de string ou atributo do usuário na coluna IAM Identity Center).

Observe que é necessário fornecer cada atributo de diretório no formato ${dir:AttributeName}. Por exemplo, o atributo firstname em seu diretório do Microsoft AD torna-se ${dir:firstname}. É importante que cada atributo de diretório tenha um valor real atribuído. Os atributos que não tiverem um valor depois de ${dir: provocarão problemas de login de usuário.