支持配置的用户属性
IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
如果使用外部身份提供商身份源,您在IAM身份中心和外部身份提供商处均可以设置实施ABAC的用户属性,如果在两处设置的ABAC属性的属性键相同,则优先以IAM身份中心设置的属性进行访问控制决策。
|
身份源 |
用户属性 |
|---|---|
|
IAM身份中心 |
${user:email} |
|
${user:familyName} |
|
|
${user:givenName} |
|
|
${user:middleName} |
|
|
${user:name} |
|
|
${user:displayName} |
|
|
外部身份提供商 |
${path:userName} |
|
${path:name.familyName} |
|
|
${path:name.givenName} |
|
|
${path:displayName} |
|
|
${path:nickName} |
|
|
${path:emails[primary eq true].value} |
|
|
${path:addresses[type eq "work"].streetAddress} |
|
|
${path:addresses[type eq "work"].locality} |
|
|
${path:addresses[type eq "work"].region} |
|
|
${path:addresses[type eq "work"].postalCode} |
|
|
${path:addresses[type eq "work"].country} |
|
|
${path:addresses[type eq "work"].formatted} |
|
|
${path:phoneNumbers[type eq "work"].value} |
|
|
${path:userType} |
|
|
${path:title} |
|
|
${path:locale} |
|
|
${path:timezone} |
|
|
${path:enterprise.employeeNumber} |
|
|
${path:enterprise.costCenter} |
|
|
${path:enterprise.organization} |
|
|
${path:enterprise.division} |
|
|
${path:enterprise.department} |
|
|
${path:enterprise.manager.value} |
