Attributzuordnungen für Verzeichnisse AWS Managed Microsoft AD - AWS IAM Identity Center
Unterstützte VerzeichnisattributeUnterstützte IAM Identity Center-AttributeUnterstützte externe Identitätsanbieter-AttributeStandardzuordnungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Attributzuordnungen für Verzeichnisse AWS Managed Microsoft AD

Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center existieren, ähnlichen Attributen in Ihrer externen Identitätsquelle zuzuordnen, wie z. B. Google Workspace, Microsoft Active Directory (AD), und Okta. IAMIdentity Center ruft Benutzerattribute aus Ihrer Identitätsquelle ab und ordnet sie IAM Identity Center-Benutzerattributen zu.

IAMIdentity Center füllt auf der Registerkarte Attributzuordnungen auf der Konfigurationsseite Ihrer Anwendung eine Reihe von Attributen für Sie vorab aus, wenn Sie einen externen Identitätsanbieter wie Google Workspace, Okta, oder Ping als Identitätsquelle. IAM Identity Center verwendet diese Benutzerattribute, um SAML Assertionen (als SAML Attribute) aufzufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum aus Ihrer Identitätsquelle abgerufen. Weitere Informationen finden Sie unter Ordnen Sie Attribute in Ihrer Anwendung IAM Identity Center-Attributen zu. Diese Zuordnungen von IAM Identity Center-Benutzerattributen können für SAML 2.0-Assertionen für Ihre Anwendungen generiert werden. Jede Anwendung bestimmt die Liste der SAML 2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt.

IAMIdentity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt Attributzuordnungen auf Ihrer Active Directory-Konfigurationsseite, wenn Sie AD als Identitätsquelle verwenden. Weitere Informationen finden Sie unter Zuordnung von Benutzerattributen zwischen IAM Identity Center und Microsoft AD-Verzeichnis.

Unterstützte Verzeichnisattribute

In der folgenden Tabelle sind alle AWS Managed Microsoft AD Verzeichnisattribute aufgeführt, die unterstützt werden und Benutzerattributen in IAM Identity Center zugeordnet werden können.

Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Sie können eine beliebige Kombination unterstützter Microsoft AD-Verzeichnisattribute angeben, um sie einem einzelnen veränderbaren Attribut in IAM Identity Center zuzuordnen. Sie können das subject Attribut beispielsweise in der Spalte Benutzerattribut in IAM Identity Center auswählen. Ordnen Sie es dann einem ${dir:displayname} ${dir:lastname}${dir:firstname } oder einem beliebigen unterstützten Attribut oder einer beliebigen Kombination unterstützter Attribute zu. Eine Liste der Standardzuordnungen für Benutzerattribute in IAM Identity Center finden Sie unter. Standardzuordnungen

Warnung

Bestimmte IAM Identity Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft AD-Verzeichnisattributen zugeordnet sind.

Beispielsweise ist „Nutzername“ ein obligatorisches Attribut in IAM Identity Center. Wenn Sie „Benutzername“ einem AD-Verzeichnisattribut mit einem leeren Wert zuordnen, betrachtet IAM Identity Center den windowsUpn Wert als Standardwert für „Benutzername“. Wenn Sie die Attributzuordnung für „Benutzername“ gegenüber Ihrer aktuellen Zuordnung ändern möchten, stellen Sie sicher, dass IAM Identity Center-Datenflüsse, die von „Benutzername“ abhängig sind, weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.

Wenn Sie das verwenden ListUsers oder ListGroupsAPIAktionen oder die list-users und list-groups AWS CLIBefehle, um Benutzern und Gruppen Zugriff auf AWS-Konten und auf Anwendungen zuzuweisen, müssen Sie den Wert für AttributeValue als angebenFQDN. Dieser Wert muss das folgende Format haben: user@example.com. Im folgenden Beispiel AttributeValue ist auf gesetztjanedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Unterstützte IAM Identity Center-Attribute

In der folgenden Tabelle sind alle IAM Identity Center-Attribute aufgeführt, die unterstützt werden und Benutzerattributen in Ihrem AWS Managed Microsoft AD Verzeichnis zugeordnet werden können. Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM Identity Center-Attribute verwenden, um sie den tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.

Unterstützte Attribute in Identity Center IAM
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Unterstützte externe Identitätsanbieter-Attribute

In der folgenden Tabelle sind alle Attribute des externen Identitätsanbieters (IdP) aufgeführt, die unterstützt werden und die Attributen zugeordnet werden können, die Sie bei der Konfiguration Attribute für Zugriffskontrolle in IAM Identity Center verwenden können. Wenn Sie SAML Assertionen verwenden, können Sie alle Attribute verwenden, die Ihr IdP unterstützt.

Unterstützte Attribute in Ihrem IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Standardzuordnungen

In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis aufgeführt. AWS Managed Microsoft AD IAM Identity Center unterstützt nur die Liste der Attribute in der Spalte Benutzerattribut in IAM Identity Center.

Anmerkung

Wenn Sie bei der Aktivierung der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in der folgenden Tabelle verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter. Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung

Benutzerattribut in Identity Center IAM Zuordnung zu diesem Attribut im Microsoft AD-Verzeichnis
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein. Andernfalls könnte der JIT Anmeldevorgang fehlschlagen.

Sie können die Standardzuordnungen ändern oder der SAML 2.0-Assertion je nach Ihren Anforderungen weitere Attribute hinzufügen. Gehen Sie beispielsweise davon aus, dass Ihre Anwendung die E-Mail-Adresse des Benutzers im 2.0-Attribut benötigt. User.Email SAML Gehen Sie außerdem davon aus, dass E-Mail-Adressen im windowsUpn Attribut in Ihrem Microsoft AD-Verzeichnis gespeichert sind. Um diese Zuordnung zu erreichen, müssen Sie an den folgenden beiden Stellen in der IAM Identity Center-Konsole Änderungen vornehmen:

  1. Ordnen Sie auf der Seite Directory (Verzeichnis) im Bereich Attribute mappings (Attributzuordnungen) das Benutzerattribut email dem Attribut ${dir:windowsUpn} zu (in der Spalte Maps to this attribute in your directory (Zuordnung zum Attribut im Verzeichnis)).

  2. Wählen Sie auf der Seite Anwendungen die Anwendung aus der Tabelle aus. Wählen Sie die Registerkarte Attributzuordnungen. Ordnen Sie dann das User.Email Attribut dem ${user:email}Attribut zu (in der Spalte Zuordnen zu diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center).

Beachten Sie, dass Sie jedes Verzeichnisattribut in der Form $ {dir:AttributeName} angeben müssen. Das Attribut firstname in Ihrem Microsoft AD-Verzeichnis wird beispielsweise zu ${dir:firstname}. Es ist wichtig, dass jedem Verzeichnisattribut ein tatsächlicher Wert zugewiesen wird. Attribute, die nach ${dir: keinen Wert haben, verursachen Probleme bei der Benutzeranmeldung.