支持配置的用户属性
IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
如果使用外部身份提供商身份源,您在IAM身份中心和外部身份提供商处均可以设置实施ABAC的用户属性,如果在两处设置的ABAC属性的属性键相同,则优先以IAM身份中心设置的属性进行访问控制决策。
| 身份源 | 用户属性 |
|---|---|
| IAM身份中心 | ${user:email} |
| ${user:familyName} | |
| ${user:givenName} | |
| ${user:middleName} | |
| ${user:name} | |
| ${user:displayName} | |
| 外部身份提供商 | ${path:userName} |
| ${path:name.familyName} | |
| ${path:name.givenName} | |
| ${path:displayName} | |
| ${path:nickName} | |
| ${path:emails[primary eq true].value} | |
| ${path:addresses[type eq "work"].streetAddress} | |
| ${path:addresses[type eq "work"].locality} | |
| ${path:addresses[type eq "work"].region} | |
| ${path:addresses[type eq "work"].postalCode} | |
| ${path:addresses[type eq "work"].country} | |
| ${path:addresses[type eq "work"].formatted} | |
| ${path:phoneNumbers[type eq "work"].value} | |
| ${path:userType} | |
| ${path:title} | |
| ${path:locale} | |
| ${path:timezone} | |
| ${path:enterprise.employeeNumber} | |
| ${path:enterprise.costCenter} | |
| ${path:enterprise.organization} | |
| ${path:enterprise.division} | |
| ${path:enterprise.department} | |
| ${path:enterprise.manager.value} |
