翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング
属性マッピングは、IAM アイデンティティセンターに存在する属性タイプと、外部 ID ソースの同様の属性 (Google Workspace、Microsoft Active Directory (AD)、Okta など) をマッピングするのに使用されます。IAM アイデンティティセンターは、ID ソースからユーザー属性を検索し、IAM アイデンティティセンターのユーザー属性に対してマッピングします。
IAM Identity Center が同期されて Google Workspace、、 Oktaなどの外部 ID プロバイダー (IdP) を ID ソースPingとして使用する場合は、IdP に属性をマッピングする必要があります。
IAM Identity Center は、設定ページにある属性マッピングタブの下に一連の属性を事前に入力します。IAM アイデンティティセンターは、これらのユーザー属性を使用して、アプリケーションに送信される SAML アサーション (SAML 属性) を設定します。これらのユーザー属性は ID ソースから取得されます。アプリケーションによって、正常なシングルサインオンに必要な SAML 2.0 属性のリストは異なります。詳細については、「アプリケーションの属性を IAM Identity Center の属性にマップする」を参照してください。
Active Directory を ID ソースとして使用している場合、IAM Identity Center は Active Directory 設定ページの属性マッピングセクションで一連の属性も管理します。詳細については、「IAM Identity Center と Microsoft AD ディレクトリ間のユーザー属性のマッピング」を参照してください。
サポートされている外部 ID プロバイダ属性
次の表は、サポートされているすべての外部 ID プロバイダー (IdP) 属性の一覧であり、IAM Identity Center アクセスコントロールの属性で を設定するときに使用できる属性にマッピングできます。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。
| IdP でサポートされている属性 |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
IAM Identity Center と の間のデフォルトマッピング Microsoft AD
以下の表に示しているのは、IAM Identity Center のユーザー属性と Microsoft AD ディレクトリのユーザー属性とのデフォルトのマッピングです。IAM ID センターは IAM Identity Center のユーザー属性 列の属性リストのみをサポートします。
| IAM Identity Center のユーザー属性 | Active Directory 内のこの属性にマッピングします。 |
|---|---|
emails[?primary].value * |
${mail} |
externalid |
${objectguid} |
name.givenname |
${givenname} |
name.familyname |
${sn} |
name.middlename |
${initials} |
username |
${samaccountname}@{associateddomain} |
* IAM Identity Center の E メール属性はディレクトリ内で一意である必要があります。
| IAM Identity Center のグループ属性 | Active Directory 内のこの属性にマッピングします。 |
|---|---|
externalid |
${objectguid} |
description |
${description} |
displayname |
${samaccountname}@{associateddomain} |
考慮事項
-
設定可能な AD 同期を有効にするときに IAM Identity Center でユーザーとグループへの割り当てがない場合、前のテーブルのデフォルトのマッピングが使用されます。これらのマッピングをカスタマイズする方法については、「同期の属性マッピングを設定する」を参照してください。
-
IAM Identity Center の特定の属性は変更不可で、デフォルトで特定の Microsoft AD ディレクトリ属性にマップされるため、変更できません。
例えば、「username」は IAM アイデンティティセンターの必須属性です。「username」に空の値を持つ AD ディレクトリ属性にマッピングする場合、IAM アイデンティティセンターは、
windowsUpn値を「username」のデフォルト値とみなします。現在のマッピングから「username」の属性マッピングを変更する場合は、「username」に依存する IAM アイデンティティセンターフローが期待どおりに動作するかどうかを確認してください。
IAM Identity Center でサポートされているMicrosoft AD属性
以下の表では、サポートされているディレクトリ Microsoft AD 属性のうち、IAM Identity Center のユーザー属性にマップできるものをすべて列挙します。
| Microsoft AD ディレクトリでサポートされている属性 |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
考慮事項
-
サポートされているMicrosoft ADディレクトリ属性の任意の組み合わせを指定して、IAM Identity Center の単一の変更可能な属性にマッピングできます。
でサポートされている IAM Identity Center 属性 Microsoft AD
以下の表では、サポートされている IAM Identity Center 属性のうち、 Microsoft AD ディレクトリのユーザー属性にマップできるものをすべて列挙します。後で、アプリケーションの属性マッピングを設定するときに、これらの同じ IAM Identity Center の属性を、そのアプリケーションで使用されている実際の属性にマップできます。
| IAM Identity Center for Active Directory でサポートされている属性 |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
