지원되는 디렉터리 속성 지원되는 IAM Identity Center 속성 지원되는 외부 ID 제공업체 속성 기본 매핑

AWS Managed Microsoft AD 디렉터리의 속성 매핑

속성 매핑은 IAM Identity Center에 있는 속성 유형을 다음과 같은 외부 자격 증명 소스의 유사한 속성과 매핑하는 데 사용됩니다.Google Workspace, Microsoft Active Directory (AD), 및 Okta. IAM Identity Center는 자격 증명 소스에서 사용자 속성을 검색하여 IAM Identity Center 사용자 속성에 매핑합니다.

IAM 다음과 같은 외부 자격 증명 공급자를 사용하는 경우 Identity Center는 애플리케이션의 구성 페이지에 있는 속성 매핑 탭 아래에 일련의 속성을 미리 채웁니다.Google Workspace, Okta 또는 Ping 를 자격 증명 소스로 사용합니다. IAM Identity Center는 이러한 사용자 속성을 사용하여 애플리케이션으로 전송되는 SAML어설션(SAML속성)을 채웁니다. 그러면 이러한 사용자 속성이 ID 소스에서 검색됩니다. 자세한 내용은 애플리케이션의 속성을 IAM Identity Center 속성에 매핑 단원을 참조하십시오. 이러한 IAM Identity Center 사용자 속성 매핑은 애플리케이션의 SAML 2.0 어설션에 대해 생성할 수 있습니다. 각 애플리케이션은 성공적인 Single Sign-On에 필요한 SAML 2.0 속성 목록을 결정합니다.

IAM 또한 Identity Center는 AD를 자격 증명 소스로 사용하는 경우 Active Directory 구성 페이지의 속성 매핑 섹션에서 속성 세트를 관리합니다. 자세한 내용은 IAM Identity Center와 Microsoft AD 디렉터리 간의 사용자 속성 매핑 단원을 참조하십시오.

지원되는 디렉터리 속성

다음 표에는 IAM Identity Center에서 지원되고 사용자 속성에 매핑할 수 있는 모든 AWS Managed Microsoft AD 디렉터리 속성이 나열되어 있습니다.

Microsoft AD 디렉터리에서 지원되는 속성
`${dir:email}`
`${dir:displayname}`
`${dir:distinguishedName}`
`${dir:firstname}`
`${dir:guid}`
`${dir:initials}`
`${dir:lastname}`
`${dir:proxyAddresses}`
`${dir:proxyAddresses:smtp}`
`${dir:proxyAddresses:SMTP}`
`${dir:windowsUpn}`

지원되는 Microsoft AD 디렉터리 속성의 조합을 지정하여 IAM Identity Center의 단일 변경 가능 속성에 매핑할 수 있습니다. 예를 들어 Identity Center 열의 사용자 subject 속성에서 속성을 선택할 수 있습니다. IAM 그런 다음 ${dir:displayname} 또는 ${dir:lastname}${dir:firstname } 또는 지원되는 단일 속성이나 지원되는 속성의 임의 조합중 하나에 매핑합니다. IAM Identity Center의 사용자 속성에 대한 기본 매핑 목록은 섹션을 참조하세요기본 매핑.

주의

특정 IAM Identity Center 속성은 변경할 수 없으며 기본적으로 특정 Microsoft AD 디렉터리 속성에 매핑되므로 수정할 수 없습니다.

예를 들어 "username"은 IAM Identity Center의 필수 속성입니다. 'username'을 값이 비어 있는 AD 디렉터리 속성에 매핑하는 경우 IAM Identity Center는 windowsUpn 값을 'username'의 기본값으로 간주합니다. 현재 매핑에서 'username'에 대한 속성 매핑을 변경하려면 변경하기 전에 'username'에 종속된 IAM Identity Center 흐름이 예상대로 계속 작동하는지 확인합니다.

를 사용하는 경우 ListUsers 또는 ListGroups API 작업 또는 list-users 및 list-groups AWS CLI AWS 계정 사용자 및 그룹에 및 애플리케이션에 대한 액세스 권한을 할당하는 명령은의 값을 AttributeValue로 지정해야 합니다FQDN. 이 값은 user@example.com 형식이어야 합니다. 다음 예에서 AttributeValue가 janedoe@example.com으로 설정됩니다.


aws identitystore list-users --identity-store-id d-12345a678b --filters AttributePath=UserName,AttributeValue=janedoe@example.com

지원되는 IAM Identity Center 속성

다음 표에는 지원되는 모든 IAM Identity Center 속성과 AWS Managed Microsoft AD 디렉터리의 사용자 속성에 매핑할 수 있는 모든 속성이 나열되어 있습니다. 애플리케이션 속성 매핑을 설정한 후 동일한 IAM Identity Center 속성을 사용하여 해당 애플리케이션에서 사용하는 실제 속성에 매핑할 수 있습니다.

IAM Identity Center에서 지원되는 속성
`${user:AD_GUID}`
`${user:email}`
`${user:familyName}`
`${user:givenName}`
`${user:middleName}`
`${user:name}`
`${user:preferredUsername}`
`${user:subject}`

지원되는 외부 ID 제공업체 속성

다음 표에는 Identity Center액세스 제어를 위한 속성에서를 구성할 때 사용할 수 있는 속성에 매핑할 수 있고 지원되는 모든 외부 IAM ID 공급자(IdP) 속성이 나열되어 있습니다. SAML 어설션을 사용할 때 IdP가 지원하는 속성을 사용할 수 있습니다.

IdP에서 지원되는 속성
`${path:userName}`
`${path:name.familyName}`
`${path:name.givenName}`
`${path:displayName}`
`${path:nickName}`
`${path:emails[primary eq true].value}`
`${path:addresses[type eq "work"].streetAddress}`
`${path:addresses[type eq "work"].locality}`
`${path:addresses[type eq "work"].region}`
`${path:addresses[type eq "work"].postalCode}`
`${path:addresses[type eq "work"].country}`
`${path:addresses[type eq "work"].formatted}`
`${path:phoneNumbers[type eq "work"].value}`
`${path:userType}`
`${path:title}`
`${path:locale}`
`${path:timezone}`
`${path:enterprise.employeeNumber}`
`${path:enterprise.costCenter}`
`${path:enterprise.organization}`
`${path:enterprise.division}`
`${path:enterprise.department}`
`${path:enterprise.manager.value}`

기본 매핑

다음 표에는 IAM Identity Center의 사용자 속성과 AWS Managed Microsoft AD 디렉터리의 사용자 속성에 대한 기본 매핑이 나열되어 있습니다. IAM Identity Center는 IAM Identity Center 열의 사용자 속성에 있는 속성 목록만 지원합니다.

참고

구성 가능한 AD 동기화를 활성화할 때 IAM Identity Center에 사용자 및 그룹에 대한 할당이 없는 경우 다음 표의 기본 매핑이 사용됩니다. 이러한 매핑을 사용자 지정하는 방법은 동기화를 위한 속성 매핑을 구성합니다. 단원을 참조하세요.

IAM Identity Center의 사용자 속성	Microsoft AD 디렉터리의 이 속성에 매핑됩니다.
`AD_GUID`	`${dir:guid}`
`email` *	`${dir:windowsUpn}`
`familyName`	`${dir:lastname}`
`givenName`	`${dir:firstname}`
`middleName`	`${dir:initials}`
`name`	`${dir:displayname}`
`preferredUsername`	`${dir:displayname}`
`subject`	`${dir:windowsUpn}`

* IAM Identity Center의 이메일 속성은 디렉터리 내에서 고유해야 합니다. 그렇지 않으면 JIT 로그인 프로세스가 실패할 수 있습니다.

요구 사항에 따라 기본 매핑을 변경하거나 SAML 2.0 어설션에 속성을 더 추가할 수 있습니다. 예를 들어 애플리케이션에 User.Email SAML 2.0 속성에 사용자의 이메일이 필요하다고 가정합니다. 또한 Microsoft AD 디렉터리의 windowsUpn 속성에 이메일 주소가 저장되어 있다고 가정해 보겠습니다. 이 매핑을 수행하려면 IAM Identity Center 콘솔에서 다음 두 위치를 변경해야 합니다.

디렉터리 페이지의 속성 매핑 섹션에서 사용자 속성 email을 ${dir:windowsUpn} 속성에 매핑해야 합니다(디렉터리의 이 속성에 매핑 열).
애플리케이션 페이지의 표에서 애플리케이션을 선택합니다. 속성 매핑 탭을 선택합니다. 그런 다음 User.Email 속성을 ${user:email} 속성에 매핑합니다(IAMIdentity Center 열의이 문자열 값 또는 사용자 속성에 매핑).

참고로 각 디렉터리 속성은 ${dir:AttributeName} 형식으로 제공해야 합니다. 예를 들어, Microsoft AD 디렉터리의 firstname 속성은 ${dir:firstname}이(가) 됩니다. 모든 디렉터리 속성에는 실제 값이 할당되어 있어야 합니다. ${dir: 뒤에 속성 값이 누락되면 사용자 로그인 문제가 발생할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결

IAM Identity Center와 Microsoft AD 디렉터리 간의 사용자 속성 매핑