本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Managed Microsoft AD 目录的属性映射
属性映射用于将 IAM Identity Center 中存在的属性类型与 Amazon Managed Microsoft AD 目录中的类似属性进行映射。IAM Identity Center 从您的 Microsoft AD 目录检索用户属性并将其映射到 IAM Identity Center 用户属性。这些 IAM Identity Center 用户属性映射还用于为您的应用程序生成 SAML 2.0 断言。每个应用程序都会确定为了成功实现单点登录,其所需的 SAML 2.0 属性列表。
IAM Identity Center 在应用程序配置页面上的属性映射选项卡下为您预填充一组属性。IAM Identity Center 使用这些用户属性来填充发送到应用程序的 SAML 断言(作为 SAML 属性)。反过来,系统从您的 Microsoft AD 中检索这些用户属性。有关更多信息,请参阅将应用程序中的属性映射到 IAM Identity Center 属性。
IAM Identity Center 还在目录配置页面的属性映射部分下为您管理一组属性。有关更多信息,请参阅将 IAM 身份中心中的属性映射到 Amazon Managed Microsoft AD 目录中的属性。
支持的目录属性属性
下表列出了所有支持的 Amazon Managed Microsoft AD 目录属性,这些属性可以映射到 IAM Identity Center 中的用户属性。
| Microsoft AD 目录支持的属性 |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
您可以指定受支持的 Microsoft AD 目录属性的任意组合以映射到 IAM Identity Center 中的单个可变属性。例如,您可以选择 IAM Identity Center 列中的用户属性下的 subject 属性。然后将其映射到 ${dir:displayname} 或 ${dir:lastname}${dir:firstname
} 或任何单个受支持的属性或受支持属性的任意组合。有关 IAM Identity Center 中用户属性的默认映射的列表,请参阅 默认映射。
警告
某些 IAM Identity Center 属性无法修改,因为它们是不可变的,并且默认映射到特定的 Microsoft AD 目录属性。
例如,“用户名” 是 IAM 身份中心的必填属性。如果您将 “用户名” 映射到值为空的 AD 目录属性,IAM Identity Center 会将该windowsUpn值视为 “用户名” 的默认值。如果您想从当前映射中更改 “用户名” 的属性映射,请在进行更改之前确认依赖于 “用户名” 的 IAM Identity Center 流程将继续按预期运行。
如果您使用ListUsers或 ListGroupsAPI 操作或list-users和 list-groups Amazon CLI 命令为用户和群组分配访问 Amazon Web Services 账户 和访问应用程序的权限,则必须将的值指定AttributeValue为 FQDN。该值必须采用以下格式:user@example.com。在以下示例中,AttributeValue 设置为 janedoe@example.com。
aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com
支持的 IAM Identity Center 属性
下表列出了所有支持的 IAM Identity Center 属性,这些属性可以映射到您的 Amazon Managed Microsoft AD 目录中的用户属性。设置应用程序属性映射后,您可以使用这些相同的 IAM Identity Center 属性来映射到该应用程序使用的实际属性。
| IAM Identity Center 支持的属性 |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
支持的外部身份提供商属性
下表列出了所有受支持且可以映射到您在 IAM Identity Center 中配置 访问控制属性 时可以使用的属性的外部身份提供商 (IdP) 属性。使用 SAML 断言时,您可以使用 IdP 支持的任何属性。
| IdP 中支持的属性 |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
默认映射
下表列出了 IAM Identity Center 中用户属性与 Amazon Managed Microsoft AD 目录中用户属性的默认映射。IAM Identity Center 仅支持 IAM Identity Center 列中的用户属性中的属性列表。
注意
如果您在启用可配置 AD 同步时在 IAM Identity Center 中没有为您的用户和组进行任何分配,则将使用下表中的默认映射。有关如何自定义这些映射的信息,请参阅 配置用于同步的属性映射。
| IAM Identity Center 中的用户属性 | 映射到 Microsoft AD 目录中的这个属性 |
|---|---|
AD_GUID |
${dir:guid} |
email * |
${dir:windowsUpn} |
familyName |
${dir:lastname} |
givenName |
${dir:firstname} |
middleName |
${dir:initials} |
name |
${dir:displayname} |
preferredUsername |
${dir:displayname} |
subject |
${dir:windowsUpn} |
* IAM Identity Center 中的电子邮件属性在目录中必须是唯一的。否则,JIT 登录过程可能会失败。
您可以根据自己的需求,更改默认映射或向 SAML 2.0 断言添加更多属性。例如,假设您的应用程序需要在 User.Email SAML 2.0 属性中提供用户电子邮件地址。此外,假设电子邮件地址存储在 Microsoft AD 目录的 windowsUpn 属性中。要实现此映射,您必须在 IAM Identity Center 控制台中的以下两个位置进行更改:
-
在 Directory (目录) 页面的 Attribute mappings (属性映射) 部分下方,您需要将用户属性
email映射到${dir:windowsUpn}属性 (位于 Maps to this attribute in your directory (映射到目录中的这个属性) 列) -
在应用程序页面上,从表中选择应用程序。选择属性映射选项卡。然后将
User.Email属性映射到${user:email}属性(在映射到 IAM Identity Center 列中的此字符串值或用户属性中)。
请注意,您必须以 ${dir:AttributeName} 的形式提供每个目录属性。例如,Microsoft AD 目录中的 firstname 属性将变为 ${dir:firstname}。重要的是,每个目录属性都会获得一个实际值。${dir: 之后缺失值的属性将导致用户登录问题。