本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM Identity Center 與外部身分提供者目錄之間的屬性映射
屬性映射用於映射 IAM Identity Center 中存在的屬性類型,在您的外部身分來源中具有類似的屬性,例如 Google Workspace、 Microsoft Active Directory (AD)和 Okta。IAM Identity Center 會從您的身分來源擷取使用者屬性,並將其映射至 IAM Identity Center 使用者屬性。
如果您的 IAM Identity Center 已同步使用**外部身分提供者** (IdP)Okta,例如 Google Workspace、 或 Ping做為身分來源,您將需要在 IdP 中映射屬性。
IAM Identity Center 會在其組態頁面上的**屬性映射**索引標籤下為您預先填入一組屬性。IAM Identity Center 使用這些使用者屬性來填入傳送至應用程式的 SAML 聲明 (做為 SAML 屬性)。這些使用者屬性會接著從您的身分來源擷取。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。如需詳細資訊,請參閱[將應用程式中的屬性映射至 IAM Identity Center 屬性](mapawsssoattributestoapp.md)。
如果您使用 Active Directory 做為身分來源,IAM Identity Center 也會在 **Active Directory 組態頁面**的**屬性映射**區段下為您管理一組屬性。如需詳細資訊,請參閱[在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性](mapssoattributestocdattributes.md)。
## 支援的外部身分提供者屬性
下表列出支援的所有外部身分提供者 (IdP) 屬性,並可映射至您可以在 IAM Identity Center [存取控制的屬性](attributesforaccesscontrol.md)中設定時使用的屬性。使用 SAML 聲明時,您可以使用 IdP 支援的任何屬性。
****
| IdP 中支援的屬性 |
| --- |
| \$\{path:userName\} |
| \$\{path:name.familyName\} |
| \$\{path:name.givenName\} |
| \$\{path:displayName\} |
| \$\{path:nickName\} |
| \$\{path:emails[primary eq true].value\} |
| \$\{path:addresses[type eq "work"].streetAddress\} |
| \$\{path:addresses[type eq "work"].locality\} |
| \$\{path:addresses[type eq "work"].region\} |
| \$\{path:addresses[type eq "work"].postalCode\} |
| \$\{path:addresses[type eq "work"].country\} |
| \$\{path:addresses[type eq "work"].formatted\} |
| \$\{path:phoneNumbers[type eq "work"].value\} |
| \$\{path:userType\} |
| \$\{path:title\} |
| \$\{path:locale\} |
| \$\{path:timezone\} |
| \$\{path:enterprise.employeeNumber\} |
| \$\{path:enterprise.costCenter\} |
| \$\{path:enterprise.organization\} |
| \$\{path:enterprise.division\} |
| \$\{path:enterprise.department\} |
| \$\{path:enterprise.manager.value\} |
## IAM Identity Center 與 之間的預設映射 Microsoft AD
下表列出 IAM Identity Center 中使用者屬性與Microsoft AD目錄中使用者屬性的預設映射。IAM Identity Center 僅支援 **IAM Identity Center 中使用者屬性**欄中的屬性清單。
****
| IAM Identity Center 中的使用者屬性 | 映射至 Active Directory 中的此屬性 |
| --- | --- |
| displayname | \$\{displayname\} |
| emails[?primary].value \* | \$\{mail\} |
| externalid | \$\{objectguid\} |
| name.givenname | \$\{givenname\} |
| name.familyname | \$\{sn\} |
| name.middlename | \$\{initials\} |
| sid | \$\{objectsid\} |
| username | \$\{userprincipalname\} |
\* IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。
****
| IAM Identity Center 中的群組屬性 | 映射至 Active Directory 中的此屬性 |
| --- | --- |
| externalid | \$\{objectguid\} |
| description | \$\{description\} |
| displayname | \$\{samaccountname\}@\{associateddomain\} |
**考量事項**
+ 啟用可設定的 AD 同步時,如果您在 IAM Identity Center 中沒有任何使用者和群組的指派,則會使用先前資料表中的預設映射。如需如何自訂這些映射的資訊,請參閱 [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 屬性無法修改,因為它們是不可變的,預設會映射到特定的 Microsoft AD 目錄屬性。
例如,「username」是 IAM Identity Center 中的必要屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性,IAM Identity Center 會將該`windowsUpn`值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射,請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作,然後再進行變更。
## IAM Identity Center 支援的Microsoft AD屬性
下表列出支援且可映射至 IAM Identity Center 中使用者屬性的所有Microsoft AD目錄屬性。
****
| Microsoft AD 目錄中受支援的屬性 |
| --- |
| \$\{samaccountname\} |
| \$\{description\} |
| \$\{objectguid\} |
| \$\{objectsid\} |
| \$\{givenname\} |
| \$\{sn\} |
| \$\{initials\} |
| \$\{mail\} |
| \$\{userprincipalname\} |
| \$\{displayname\} |
| \$\{distinguishedname\} |
| \$\{proxyaddresses[?type == "SMTP"].value\} |
| \$\{proxyaddresses[?type == "smtp"].value\} |
| \$\{useraccountcontrol\} |
| \$\{associateddomain\} |
**考量事項**
+ 您可以指定支援的Microsoft AD目錄屬性的任意組合,以映射到 IAM Identity Center 中的單一可變屬性。
## 支援的 IAM Identity Center 屬性 Microsoft AD
下表列出支援且可映射至Microsoft AD目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後,您可以使用這些相同的 IAM Identity Center 屬性來映射至該應用程式使用的實際屬性。
****
| IAM Identity Center for Active Directory 中支援的屬性 |
| --- |
| \$\{user:AD\_GUID\} |
| \$\{user:AD\_SID\} |
| \$\{user:email\} |
| \$\{user:familyName\} |
| \$\{user:givenName\} |
| \$\{user:middleName\} |
| \$\{user:name\} |
| \$\{user:preferredUsername\} |
| \$\{user:subject\} |