Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos - AWS IAM Identity Center
Atributos de proveedores de identidad externos compatiblesAsignaciones predeterminadasAtributos de Microsoft AD admitidosAtributos de IAM Identity Center compatibles para Microsoft AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos

Las asignaciones de atributos se utilizan para asignar los tipos de atributos que existen en Centro de identidades de IAM con atributos similares en sus fuentes de identidad externas, como Google Workspace, Microsoft Active Directory (AD) yOkta. Centro de identidades de IAM recupera los atributos de usuario de la fuente de identidad y los asigna a los atributos de usuario de Centro de identidades de IAM.

Si su IAM Identity Center está sincronizado para usar un proveedor de identidades (IdP) externo, por ejemplo, Google Workspace, Okta o Ping, como origen de identidad, tendrá que asignar sus atributos en su IdP.

IAM Identity Center rellena previamente un conjunto de atributos en la pestaña Asignaciones de atributos de la página de configuración. Centro de identidades de IAM utiliza estos atributos de usuario para rellenar las aserciones de SAML (como atributos de SAML) que se envían a la aplicación. Estos atributos de usuario se recuperan, a su vez, de su fuente de identidad. Cada aplicación determina la lista de atributos de SAML 2.0 que necesita para un inicio de sesión único correcto. Para obtener más información, consulte Asignación de atributos de su aplicación con atributos de IAM Identity Center.

IAM Identity Center también administra un conjunto de atributos en la sección Asignaciones de atributos de la página de configuración de Active Directory si utiliza AD como origen de identidad. Para obtener más información, consulte Asignación de los atributos de usuario entre IAM Identity Center y el directorio Microsoft AD.

Atributos de proveedores de identidad externos compatibles

En la siguiente tabla se enumeran todos los atributos del proveedor de identidades (IdP) externo que se admiten y se pueden asignar a los atributos que se pueden utilizar al configurar Atributos para controlar el acceso en IAM Identity Center. Al usar aserciones de SAML, puede usar cualquier atributo que admita su IdP.

Atributos compatibles en su IdP
${path:userName}
${path:name.familyName}
${path:name.givenName}
${path:displayName}
${path:nickName}
${path:emails[primary eq true].value}
${path:addresses[type eq "work"].streetAddress}
${path:addresses[type eq "work"].locality}
${path:addresses[type eq "work"].region}
${path:addresses[type eq "work"].postalCode}
${path:addresses[type eq "work"].country}
${path:addresses[type eq "work"].formatted}
${path:phoneNumbers[type eq "work"].value}
${path:userType}
${path:title}
${path:locale}
${path:timezone}
${path:enterprise.employeeNumber}
${path:enterprise.costCenter}
${path:enterprise.organization}
${path:enterprise.division}
${path:enterprise.department}
${path:enterprise.manager.value}

Asignaciones predeterminadas entre IAM Identity Center y Microsoft AD

En la tabla siguiente se muestran las asignaciones predeterminadas de los atributos de usuario de Centro de identidades de IAM a los atributos de usuario del directorio Microsoft AD. Centro de identidades de IAM solo admite la lista de atributos de la columna Atributo de usuario en Centro de identidades de IAM.

Atributo de usuario en Centro de identidades de IAM Asignaciones a este atributo en su Active Directory
displayname ${displayname}
emails[?primary].value * ${mail}
externalid ${objectguid}
name.givenname ${givenname}
name.familyname ${sn}
name.middlename ${initials}
sid ${objectsid}
username ${userprincipalname}

* El atributo de correo electrónico de Centro de identidades de IAM debe ser único en el directorio.

Atributo de usuario en IAM Identity Center Asignaciones a este atributo en su Active Directory
externalid ${objectguid}
description ${description}
displayname ${samaccountname}@{associateddomain}
Consideraciones

  • Si no tiene ninguna asignación para sus usuarios y grupos en IAM Identity Center cuando habilite la sincronización de AD configurable, se utilizan las asignaciones predeterminadas en las tablas anteriores. Para obtener información acerca de cómo personalizar estas asignaciones, consulte Configuración de las asignaciones de atributos para su sincronización.

  • Algunos atributos de IAM Identity Center no se pueden modificar porque son inmutables y se asignan de forma predeterminada a atributos de directorio específicos de Microsoft AD.

    Por ejemplo, el “nombre de usuario” es un atributo obligatorio en el IAM Identity Center. Si asigna “nombre de usuario” a un atributo del directorio de AD con un valor vacío, el IAM Identity Center considerará el valor windowsUpn como el valor predeterminado de “nombre de usuario”. Si desea cambiar la asignación de atributos de “nombre de usuario” de la asignación actual, confirme que los flujos del IAM Identity Center que dependen del “nombre de usuario” sigan funcionando según lo previsto antes de realizar el cambio.

Atributos de Microsoft AD compatibles con IAM Identity Center

En la siguiente tabla se proporciona la lista completa de los atributos del directorio Microsoft AD admitidos y que se pueden asignar a atributos de usuario de Centro de identidades de IAM.

Atributos admitidos en el directorio de Microsoft AD
${samaccountname}
${description}
${objectguid}
${objectsid}
${givenname}
${sn}
${initials}
${mail}
${userprincipalname}
${displayname}
${distinguishedname}
${proxyaddresses[?type == "SMTP"].value}
${proxyaddresses[?type == "smtp"].value}
${useraccountcontrol}
${associateddomain}
Consideraciones

  • Puede especificar cualquier combinación de atributos del directorio de Microsoft AD compatibles para asignarlos a un único atributo de IAM Identity Center.

Atributos de IAM Identity Center compatibles para Microsoft AD

En la siguiente tabla se proporciona la lista completa de los atributos de Centro de identidades de IAM admitidos y que se pueden asignar a atributos de usuario del directorio Microsoft AD. Posteriormente, cuando configure las asignaciones de los atributos de la aplicación podrá usar estos mismos atributos de Centro de identidades de IAM para asignarlos con los atributos reales utilizados por dicha aplicación.

Atributos en IAM Identity Center compatibles para Active Directory
${user:AD_GUID}
${user:AD_SID}
${user:email}
${user:familyName}
${user:givenName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}