本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
屬性映射用於映射 IAM Identity Center 中存在的屬性類型,在您的外部身分來源中具有類似屬性,例如 Google Workspace、 Microsoft Active Directory (AD)和 Okta。IAM Identity Center 會從您的身分來源擷取使用者屬性,並將其映射至 IAM Identity Center 使用者屬性。
如果您的 IAM Identity Center 已同步使用外部身分提供者 (IdP)Okta,例如 Google Workspace、 或 Ping做為身分來源,則需要在 IdP 中映射屬性。
IAM Identity Center 會在其組態頁面上的屬性映射索引標籤下預先填入一組屬性。IAM Identity Center 使用這些使用者屬性來填入傳送至應用程式的 SAML 聲明 (做為 SAML 屬性)。這些使用者屬性會接著從您的身分來源擷取。每個應用程式都會決定其成功單一登入所需的 SAML 2.0 屬性清單。如需詳細資訊,請參閱將應用程式中的屬性映射至 IAM Identity Center 屬性。
如果您使用 Active Directory 做為身分來源,IAM Identity Center 也會在 Active Directory 組態頁面的屬性映射區段下為您管理一組屬性。如需詳細資訊,請參閱在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性。
支援的外部身分提供者屬性
下表列出支援的所有外部身分提供者 (IdP) 屬性,並可映射至您可以在 IAM Identity Center 存取控制的屬性中設定時使用的屬性。使用 SAML 聲明時,您可以使用 IdP 支援的任何屬性。
| IdP 中支援的屬性 |
|---|
${path:userName} |
${path:name.familyName} |
${path:name.givenName} |
${path:displayName} |
${path:nickName} |
${path:emails[primary eq true].value} |
${path:addresses[type eq "work"].streetAddress} |
${path:addresses[type eq "work"].locality} |
${path:addresses[type eq "work"].region} |
${path:addresses[type eq "work"].postalCode} |
${path:addresses[type eq "work"].country} |
${path:addresses[type eq "work"].formatted} |
${path:phoneNumbers[type eq "work"].value} |
${path:userType} |
${path:title} |
${path:locale} |
${path:timezone} |
${path:enterprise.employeeNumber} |
${path:enterprise.costCenter} |
${path:enterprise.organization} |
${path:enterprise.division} |
${path:enterprise.department} |
${path:enterprise.manager.value} |
IAM Identity Center 與 之間的預設映射 Microsoft AD
下表列出 IAM Identity Center 中使用者屬性的預設對應至Microsoft AD目錄中的使用者屬性。IAM Identity Center 僅支援 IAM Identity Center 欄中使用者屬性的屬性清單。
| IAM Identity Center 中的使用者屬性 | 映射到 Active Directory 中的此屬性 |
|---|---|
emails[?primary].value * |
${mail} |
externalid |
${objectguid} |
name.givenname |
${givenname} |
name.familyname |
${sn} |
name.middlename |
${initials} |
username |
${samaccountname}@{associateddomain} |
* IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。
| IAM Identity Center 中的群組屬性 | 映射到 Active Directory 中的此屬性 |
|---|---|
externalid |
${objectguid} |
description |
${description} |
displayname |
${samaccountname}@{associateddomain} |
考量事項
-
如果您在啟用可設定的 AD 同步時,在 IAM Identity Center 中沒有使用者和群組的任何指派,則會使用上表中的預設映射。如需如何自訂這些映射的資訊,請參閱 為您的同步設定屬性映射。
-
某些 IAM Identity Center 屬性無法修改,因為它們是不可變的,且預設會對應至特定的 Microsoft AD 目錄屬性。
例如,"username" 是 IAM Identity Center 中的強制性屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性,IAM Identity Center 會將該
windowsUpn值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射,請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作,然後再進行變更。
IAM Identity Center 支援的Microsoft AD屬性
下表列出支援且可映射至 IAM Identity Center 中使用者屬性的所有Microsoft AD目錄屬性。
| Microsoft AD 目錄中受支援的屬性 |
|---|
${dir:email} |
${dir:displayname} |
${dir:distinguishedName} |
${dir:firstname} |
${dir:guid} |
${dir:initials} |
${dir:lastname} |
${dir:proxyAddresses} |
${dir:proxyAddresses:smtp} |
${dir:proxyAddresses:SMTP} |
${dir:windowsUpn} |
考量事項
-
您可以指定支援的Microsoft AD目錄屬性的任意組合,以映射到 IAM Identity Center 中的單一可變屬性。
支援的 IAM Identity Center 屬性 Microsoft AD
下表列出支援且可映射到Microsoft AD目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後,您可以使用這些相同的 IAM Identity Center 屬性來映射到該應用程式使用的實際屬性。
| Active Directory 的 IAM Identity Center 中支援的屬性 |
|---|
${user:AD_GUID} |
${user:email} |
${user:familyName} |
${user:givenName} |
${user:middleName} |
${user:name} |
${user:preferredUsername} |
${user:subject} |
