IAM Identity Center 与外部身份提供者目录之间的属性映射 - Amazon IAM Identity Center
支持的外部身份提供商属性默认映射支持的 Microsoft AD 属性Microsoft AD 支持的 IAM Identity Center 属性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM Identity Center 与外部身份提供者目录之间的属性映射

属性映射可用于将 IAM Identity Center 中存在的属性类型与 Google Workspace、Microsoft Active Directory (AD) 和 Okta 等外部身份源中的类似属性进行映射。IAM Identity Center 从身份源目录检索用户属性并将其映射到 IAM Identity Center 用户属性。

如果您的 IAM Identity Center 同步使用外部身份提供者(IdP)(如 Google Workspace、Okta 或 Ping)作为身份源,您将需要在 IdP 中映射属性。

IAM Identity Center 在其配置页面上的属性映射选项卡下为您预填充一组属性。IAM Identity Center 使用这些用户属性来填充发送到应用程序的 SAML 断言(作为 SAML 属性)。反过来,系统会从身份源中检索这些用户属性。每个应用程序都会确定为了成功实现单点登录,其所需的 SAML 2.0 属性列表。有关更多信息,请参阅 将应用程序中的属性映射到 IAM Identity Center 属性

如果将 Active Directory 用作身份源,IAM Identity Center 还会在 Active Directory 配置页面的属性映射部分下为您管理一组属性。有关更多信息,请参阅 在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性

支持的外部身份提供商属性

下表列出了所有受支持且可以映射到您在 IAM Identity Center 中配置 访问控制属性 时可以使用的属性的外部身份提供者(IdP)属性。使用 SAML 断言时,您可以使用 IdP 支持的任何属性。

IdP 中支持的属性
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

IAM Identity Center 与 Microsoft AD 之间的默认映射

下表列出了 IAM Identity Center 中的用户属性到 Microsoft AD 目录中的用户属性的默认映射。IAM Identity Center 仅支持 IAM Identity Center 列中的用户属性中的属性列表。

IAM Identity Center 中的用户属性 映射到您的 Active Directory 中的此属性
displayname ${displayname}
emails[?primary].value * ${mail}
externalid ${objectguid}
name.givenname ${givenname}
name.familyname ${sn}
name.middlename ${initials}
sid ${objectsid}
username ${userprincipalname}

* IAM Identity Center 中的电子邮件属性在目录中必须是唯一的。

IAM Identity Center 中的组属性 映射到您的 Active Directory 中的此属性
externalid ${objectguid}
description ${description}
displayname ${samaccountname}@{associateddomain}
注意事项

  • 如果您在启用可配置 AD 同步时在 IAM Identity Center 中没有为您的用户和组进行任何分配,则将使用前面表格中的默认映射。有关如何自定义这些映射的信息,请参阅 配置用于同步的属性映射

  • 某些 IAM Identity Center 属性无法修改,因为它们是不可变的,并且默认映射到特定的 Microsoft AD 目录属性。

    例如,username 是 IAM Identity Center 的必填属性。如果将 username 映射到值为空的 AD 目录属性,IAM Identity Center 会将 windowsUpn 值视为 username 的默认值。如果想从当前映射中更改 username 的属性映射,请在更改之前确认与 username 存在依赖关系的 IAM Identity Center 流程会继续按预期运行。

IAM Identity Center 支持的 Microsoft AD 属性

下表列出了所有受支持且可映射到 IAM Identity Center 中的用户属性的 Microsoft AD 目录属性。

Microsoft AD 目录支持的属性
${samaccountname}
${description}
${objectguid}
${objectsid}
${givenname}
${sn}
${initials}
${mail}
${userprincipalname}
${displayname}
${distinguishedname}
${proxyaddresses[?type == "SMTP"].value}
${proxyaddresses[?type == "smtp"].value}
${useraccountcontrol}
${associateddomain}
注意事项

  • 您可以指定受支持的 Microsoft AD 目录属性的任意组合以映射到 IAM Identity Center 中的单个可变属性。

Microsoft AD 支持的 IAM Identity Center 属性

下表列出了受支持且可以映射到 Microsoft AD 目录中的用户属性的所有 IAM Identity Center 属性。设置应用程序属性映射后,您可以使用这些相同的 IAM Identity Center 属性来映射到该应用程序使用的实际属性。

IAM Identity Center 中 Active Directory 支持的属性
${user:AD_GUID}
${user:AD_SID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}