翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング
<a name="attributemappingsconcept"></a>

属性マッピングは、IAM アイデンティティセンターに存在する属性タイプと、外部 ID ソースの同様の属性 (Google Workspace、Microsoft Active Directory (AD)、Okta など) をマッピングするのに使用されます。IAM アイデンティティセンターは、ID ソースからユーザー属性を検索し、IAM アイデンティティセンターのユーザー属性に対してマッピングします。

IAM アイデンティティセンターが Google Workspace、Okta、または Ping などの**外部 ID プロバイダー** (IdP) を ID ソースとして使用するように同期されている場合は、IdP に属性をマッピングする必要があります。

IAM アイデンティティセンターは、設定ページの **[属性マッピング]** タブから一連の属性を事前に取得します。IAM アイデンティティセンターは、これらのユーザー属性を使用して、アプリケーションに送信される SAML アサーション (SAML 属性) を設定します。これらのユーザー属性は ID ソースから取得されます。アプリケーションによって、正常なシングルサインオンに必要な SAML 2.0 属性のリストは異なります。詳細については、「[アプリケーションの属性を IAM Identity Center の属性にマップする](mapawsssoattributestoapp.md)」を参照してください。

IAM アイデンティティセンターは、Active Directory を ID ソースとして使用している場合、**[Active Directory 設定]** ページの **[属性マッピング]** セクションの下にある一連の属性も管理します。詳細については、「[IAM アイデンティティセンターと Microsoft AD ディレクトリ間のユーザー属性のマッピング](mapssoattributestocdattributes.md)」を参照してください。

## サポートされている外部 ID プロバイダ属性
<a name="supportedidpattributes"></a>

以下の表は、サポートされているすべての外部 ID プロバイダー(IdP) 属性と、IAM アイデンティティセンターで [アクセスコントロールの属性](attributesforaccesscontrol.md) を構成するときに使用できる属性にマッピングできるものをリストアップしたものです。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。


****  

| IdP でサポートされている属性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM アイデンティティセンターと Microsoft AD の間のデフォルトのマッピング
<a name="defaultattributemappings"></a>

以下の表に示しているのは、IAM Identity Center のユーザー属性と Microsoft AD ディレクトリのユーザー属性とのデフォルトのマッピングです。IAM ID センターは **IAM アイデンティティセンターのユーザー属性** 列の属性リストのみをサポートします。


****  

| IAM Identity Center のユーザー属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center の E メール属性はディレクトリ内で一意である必要があります。


****  

| IAM アイデンティティセンターのグループ属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**考慮事項**
+ 設定可能な AD 同期を有効にしたときに IAM アイデンティティセンターのユーザーとグループに何も割り当てられていない場合は、前の表のデフォルトマッピングが使用されます。これらのマッピングをカスタマイズする方法については、「[同期の属性マッピングを設定する](manage-sync-configure-attribute-mapping-configurable-ADsync.md)」を参照してください。
+ IAM アイデンティティセンターの特定の属性は変更不可で、デフォルトで特定の Microsoft AD ディレクトリ属性にマップされるため、変更できません。

  例えば、「username」は IAM アイデンティティセンターの必須属性です。「username」に空の値を持つ AD ディレクトリ属性にマッピングする場合、IAM アイデンティティセンターは、`windowsUpn` 値を「username」のデフォルト値とみなします。現在のマッピングから「username」の属性マッピングを変更する場合は、「username」に依存する IAM アイデンティティセンターフローが期待どおりに動作するかどうかを確認してください。

## IAM アイデンティティセンターでサポートされている Microsoft AD 属性
<a name="supporteddirectoryattributes"></a>

以下の表では、サポートされているディレクトリ Microsoft AD 属性のうち、IAM Identity Center のユーザー属性にマップできるものをすべて列挙します。


****  

| Microsoft AD ディレクトリでサポートされている属性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**考慮事項**
+ サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、IAM アイデンティティセンターの 1 つの変更可能な属性にマップできます。

## Microsoft AD でサポートされている IAM アイデンティティセンター属性
<a name="supportedssoattributes"></a>

以下の表では、サポートされている IAM Identity Center 属性のうち、 Microsoft AD ディレクトリのユーザー属性にマップできるものをすべて列挙します。後で、アプリケーションの属性マッピングを設定するときに、これらの同じ IAM Identity Center の属性を、そのアプリケーションで使用されている実際の属性にマップできます。


****  

| Active Directory において IAM アイデンティティセンターでサポートされている属性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 |