本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM Identity Center 與外部身分提供者目錄之間的屬性映射
屬性映射用於映射 IAM Identity Center 中存在的屬性類型,在您的外部身分來源中具有類似的屬性,例如 Google Workspace、 Microsoft Active Directory (AD)和 Okta。IAM Identity Center 會從您的身分來源擷取使用者屬性,並將其映射至 IAM Identity Center 使用者屬性。
如果您的 IAM Identity Center 已同步使用**外部身分提供者** (IdP)Okta,例如 Google Workspace、 或 Ping做為身分來源,您將需要在 IdP 中映射屬性。
IAM Identity Center 會在其組態頁面上的**屬性映射**索引標籤下為您預先填入一組屬性。IAM Identity Center 使用這些使用者屬性來填入傳送至應用程式的 SAML 聲明 (做為 SAML 屬性)。這些使用者屬性會接著從您的身分來源擷取。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。如需詳細資訊,請參閱[將應用程式中的屬性映射至 IAM Identity Center 屬性](mapawsssoattributestoapp.md)。
如果您使用 Active Directory 做為身分來源,IAM Identity Center 也會在 **Active Directory 組態頁面**的**屬性映射**區段下為您管理一組屬性。如需詳細資訊,請參閱[在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性](mapssoattributestocdattributes.md)。
## 支援的外部身分提供者屬性
下表列出支援的所有外部身分提供者 (IdP) 屬性,並可映射至您可以在 IAM Identity Center [存取控制的屬性](attributesforaccesscontrol.md)中設定時使用的屬性。使用 SAML 聲明時,您可以使用 IdP 支援的任何屬性。
****
| IdP 中支援的屬性 |
| --- |
| ${path:userName} |
| ${path:name.familyName} |
| ${path:name.givenName} |
| ${path:displayName} |
| ${path:nickName} |
| ${path:emails[primary eq true].value} |
| ${path:addresses[type eq "work"].streetAddress} |
| ${path:addresses[type eq "work"].locality} |
| ${path:addresses[type eq "work"].region} |
| ${path:addresses[type eq "work"].postalCode} |
| ${path:addresses[type eq "work"].country} |
| ${path:addresses[type eq "work"].formatted} |
| ${path:phoneNumbers[type eq "work"].value} |
| ${path:userType} |
| ${path:title} |
| ${path:locale} |
| ${path:timezone} |
| ${path:enterprise.employeeNumber} |
| ${path:enterprise.costCenter} |
| ${path:enterprise.organization} |
| ${path:enterprise.division} |
| ${path:enterprise.department} |
| ${path:enterprise.manager.value} |
## IAM Identity Center 與 之間的預設映射 Microsoft AD
下表列出 IAM Identity Center 中使用者屬性與Microsoft AD目錄中使用者屬性的預設映射。IAM Identity Center 僅支援 **IAM Identity Center 中使用者屬性**欄中的屬性清單。
****
| IAM Identity Center 中的使用者屬性 | 映射至 Active Directory 中的此屬性 |
| --- | --- |
| displayname | ${displayname} |
| emails[?primary].value \* | ${mail} |
| externalid | ${objectguid} |
| name.givenname | ${givenname} |
| name.familyname | ${sn} |
| name.middlename | ${initials} |
| sid | ${objectsid} |
| username | ${userprincipalname} |
\* IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。
****
| IAM Identity Center 中的群組屬性 | 映射至 Active Directory 中的此屬性 |
| --- | --- |
| externalid | ${objectguid} |
| description | ${description} |
| displayname | ${samaccountname}@{associateddomain} |
**考量事項**
+ 啟用可設定的 AD 同步時,如果您在 IAM Identity Center 中沒有任何使用者和群組的指派,則會使用先前資料表中的預設映射。如需如何自訂這些映射的資訊,請參閱 [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 屬性無法修改,因為它們是不可變的,預設會映射到特定的 Microsoft AD 目錄屬性。
例如,「username」是 IAM Identity Center 中的必要屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性,IAM Identity Center 會將該`windowsUpn`值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射,請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作,然後再進行變更。
## IAM Identity Center 支援的Microsoft AD屬性
下表列出支援且可映射至 IAM Identity Center 中使用者屬性的所有Microsoft AD目錄屬性。
****
| Microsoft AD 目錄中受支援的屬性 |
| --- |
| ${samaccountname} |
| ${description} |
| ${objectguid} |
| ${objectsid} |
| ${givenname} |
| ${sn} |
| ${initials} |
| ${mail} |
| ${userprincipalname} |
| ${displayname} |
| ${distinguishedname} |
| ${proxyaddresses[?type == "SMTP"].value} |
| ${proxyaddresses[?type == "smtp"].value} |
| ${useraccountcontrol} |
| ${associateddomain} |
**考量事項**
+ 您可以指定支援的Microsoft AD目錄屬性的任意組合,以映射到 IAM Identity Center 中的單一可變屬性。
## 支援的 IAM Identity Center 屬性 Microsoft AD
下表列出支援且可映射至Microsoft AD目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後,您可以使用這些相同的 IAM Identity Center 屬性來映射至該應用程式使用的實際屬性。
****
| IAM Identity Center for Active Directory 中支援的屬性 |
| --- |
| ${user:AD\_GUID} |
| ${user:AD\_SID} |
| ${user:email} |
| ${user:familyName} |
| ${user:givenName} |
| ${user:middleName} |
| ${user:name} |
| ${user:preferredUsername} |
| ${user:subject} |