Asignaciones de atributos para el directorio AWS Managed Microsoft AD - AWS IAM Identity Center
Atributos de directorio admitidosAtributos IAM de Identity Center compatiblesAtributos de proveedores de identidad externos compatiblesAsignaciones predeterminadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asignaciones de atributos para el directorio AWS Managed Microsoft AD

Las asignaciones de atributos se utilizan para mapear los tipos de atributos que existen en IAM Identity Center con atributos similares en su fuente de identidad externa, como Google Workspace, Microsoft Active Directory (AD), y Okta. IAMIdentity Center recupera los atributos de usuario de su fuente de identidad y los asigna a los atributos de usuario de IAM Identity Center.

IAMIdentity Center rellena automáticamente un conjunto de atributos en la pestaña Asignaciones de atributos que se encuentra en la página de configuración de la aplicación si utiliza un proveedor de identidad externo, como Google Workspace, Okta, or Ping como fuente de identidad. IAM Identity Center utiliza estos atributos de usuario para rellenar SAML las aserciones (como SAML atributos) que se envían a la aplicación. Estos atributos de usuario se recuperan, a su vez, de su fuente de identidad. Para obtener más información, consulte Asigne los atributos de su aplicación a los atributos de IAM Identity Center. Estas asignaciones de atributos de usuario de IAM Identity Center se pueden generar para las aserciones SAML 2.0 de sus aplicaciones. Cada aplicación determina la lista de atributos SAML 2.0 que necesita para iniciar correctamente el inicio de sesión único.

IAMIdentity Center también administra un conjunto de atributos en la sección Asignaciones de atributos de la página de configuración de Active Directory si utiliza AD como fuente de identidad. Para obtener más información, consulte Asignación de atributos de usuario entre IAM Identity Center y el directorio de Microsoft AD.

Atributos de directorio admitidos

En la siguiente tabla, se enumeran todos los atributos de AWS Managed Microsoft AD directorio que se admiten y que se pueden asignar a los atributos de usuario en IAM Identity Center.

Atributos admitidos en el directorio de Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}

Puede especificar cualquier combinación de atributos de directorio de Microsoft AD compatibles para asignarlos a un único atributo mutable en IAM Identity Center. Por ejemplo, puede elegir el subject atributo en la columna Atributo de usuario en IAM Identity Center. A continuación, asígnelo a ${dir:displayname} o ${dir:lastname}${dir:firstname }, a uno de los atributos admitidos o a una combinación arbitraria de atributos admitidos. Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario en IAM Identity Center, consulte. Asignaciones predeterminadas

aviso

Algunos atributos del Centro de IAM identidad no se pueden modificar porque son inmutables y se asignan de forma predeterminada a atributos de directorio específicos de Microsoft AD.

Por ejemplo, el «nombre de usuario» es un atributo obligatorio en IAM Identity Center. Si asignas «nombre de usuario» a un atributo del directorio de AD con un valor vacío, IAM Identity Center considerará el windowsUpn valor como el valor predeterminado de «nombre de usuario». Si desea cambiar la asignación de atributos de «nombre de usuario» de la asignación actual, confirme que los flujos de IAM Identity Center que dependen del «nombre de usuario» sigan funcionando según lo previsto antes de realizar el cambio.

Si utiliza el ListUsers o ListGroupsAPIacciones o el list-users y list-groups AWS CLIcomandos para asignar a los usuarios y grupos acceso a Cuentas de AWS y a las aplicaciones, debe especificar el valor de AttributeValue comoFQDN. Este valor debe tener el siguiente formato: usuario@ejemplo.com. En el siguiente ejemplo, AttributeValue se configura como janedoe@example.com.

aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

Atributos IAM de Identity Center compatibles

En la siguiente tabla se enumeran todos los atributos del Centro de IAM Identidad que se admiten y que se pueden asignar a los atributos de usuario del AWS Managed Microsoft AD directorio. Después de configurar las asignaciones de atributos de la aplicación, puede usar estos mismos atributos del Centro de IAM Identidad para asignarlos a los atributos reales que usa esa aplicación.

Atributos compatibles en Identity Center IAM
${user:AD_GUID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}

Atributos de proveedores de identidad externos compatibles

En la siguiente tabla se enumeran todos los atributos del proveedor de identidad externo (IdP) que se admiten y que se pueden asignar a los atributos que se pueden usar al configurar Atributos para controlar el acceso en IAM Identity Center. Al usar SAML aserciones, puede usar cualquier atributo que admita su IdP.

Atributos compatibles en su IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Asignaciones predeterminadas

En la siguiente tabla se enumeran las asignaciones predeterminadas de los atributos de usuario en IAM Identity Center a los atributos de usuario de su directorio. AWS Managed Microsoft AD IAM Identity Center solo admite la lista de atributos de la columna Atributo de usuario en IAM Identity Center.

nota

Si no tiene ninguna asignación para sus usuarios y grupos en IAM Identity Center cuando habilita la sincronización de AD configurable, se utilizan las asignaciones predeterminadas de la siguiente tabla. Para obtener información acerca de cómo personalizar estas asignaciones, consulte Configuración de las asignaciones de atributos para su sincronización.

Atributo de usuario en Identity Center IAM Se asigna a este atributo en el directorio de Microsoft AD
AD_GUID ${dir:guid}
email * ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}

* El atributo de correo electrónico de IAM Identity Center debe ser único en el directorio. De lo contrario, el proceso de JIT inicio de sesión podría fallar.

Puede cambiar las asignaciones predeterminadas o añadir más atributos a la afirmación SAML 2.0 en función de sus necesidades. Por ejemplo, supongamos que la aplicación requiere el correo electrónico del usuario en el User.Email SAML atributo 2.0. Además, suponga que las direcciones de correo electrónico se almacenan en el atributo de windowsUpn del directorio de Microsoft AD. Para lograr este mapeo, debe realizar cambios en los dos lugares siguientes de la consola de IAM Identity Center:

  1. En la página Directory (Directorio), en la sección Attribute mappings (Asignaciones de atributos), debería asignar el atributo de usuario email al atributo ${dir:windowsUpn} (en la columna Maps to this attribute in your directory [Se asigna a este atributo en su directorio]).

  2. En la página Aplicaciones, elija la aplicación de la tabla. Elija la pestaña Asignación de atributos. A continuación, asigne el User.Email atributo al ${user:email}atributo (en la columna Mapas a este valor de cadena o atributo de usuario en IAM Identity Center).

Tenga en cuenta que debe proporcionar cada atributo de directorio siguiendo el formato ${dir:AttributeName}. Por ejemplo, el atributo firstname en su directorio de Microsoft AD pasará a ser ${dir:firstname}. Es importante que cada atributo de directorio tenga asignado un valor real. Los atributos que no tengan un valor detrás de ${dir: causarán problemas de inicio de sesión del usuario.