本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM Identity Center 与外部身份提供者目录之间的属性映射
属性映射可用于将 IAM Identity Center 中存在的属性类型与 Google Workspace、Microsoft Active Directory (AD) 和 Okta 等外部身份源中的类似属性进行映射。IAM Identity Center 从身份源目录检索用户属性并将其映射到 IAM Identity Center 用户属性。
如果您的 IAM Identity Center 同步使用**外部身份提供者**(IdP)(如 Google Workspace、Okta 或 Ping)作为身份源,您将需要在 IdP 中映射属性。
IAM Identity Center 在其配置页面上的**属性映射**选项卡下为您预填充一组属性。IAM Identity Center 使用这些用户属性来填充发送到应用程序的 SAML 断言(作为 SAML 属性)。反过来,系统会从身份源中检索这些用户属性。每个应用程序都会确定为了成功实现单点登录,其所需的 SAML 2.0 属性列表。有关更多信息,请参阅 [将应用程序中的属性映射到 IAM Identity Center 属性](mapawsssoattributestoapp.md)。
如果将 Active Directory 用作身份源,IAM Identity Center 还会在 **Active Directory 配置**页面的**属性映射**部分下为您管理一组属性。有关更多信息,请参阅 [在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性](mapssoattributestocdattributes.md)。
## 支持的外部身份提供商属性
下表列出了所有受支持且可以映射到您在 IAM Identity Center 中配置 [访问控制属性](attributesforaccesscontrol.md) 时可以使用的属性的外部身份提供者(IdP)属性。使用 SAML 断言时,您可以使用 IdP 支持的任何属性。
****
| IdP 中支持的属性 |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## IAM Identity Center 与 Microsoft AD 之间的默认映射
下表列出了 IAM Identity Center 中的用户属性到 Microsoft AD 目录中的用户属性的默认映射。IAM Identity Center 仅支持 **IAM Identity Center 列中的用户属性**中的属性列表。
****
| IAM Identity Center 中的用户属性 | 映射到您的 Active Directory 中的此属性 |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 IAM Identity Center 中的电子邮件属性在目录中必须是唯一的。
****
| IAM Identity Center 中的组属性 | 映射到您的 Active Directory 中的此属性 |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**注意事项**
+ 如果您在启用可配置 AD 同步时在 IAM Identity Center 中没有为您的用户和组进行任何分配,则将使用前面表格中的默认映射。有关如何自定义这些映射的信息,请参阅 [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 属性无法修改,因为它们是不可变的,并且默认映射到特定的 Microsoft AD 目录属性。
例如,username 是 IAM Identity Center 的必填属性。如果将 username 映射到值为空的 AD 目录属性,IAM Identity Center 会将 `windowsUpn` 值视为 username 的默认值。如果想从当前映射中更改 username 的属性映射,请在更改之前确认与 username 存在依赖关系的 IAM Identity Center 流程会继续按预期运行。
## IAM Identity Center 支持的 Microsoft AD 属性
下表列出了所有受支持且可映射到 IAM Identity Center 中的用户属性的 Microsoft AD 目录属性。
****
| Microsoft AD 目录支持的属性 |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**注意事项**
+ 您可以指定受支持的 Microsoft AD 目录属性的任意组合以映射到 IAM Identity Center 中的单个可变属性。
## Microsoft AD 支持的 IAM Identity Center 属性
下表列出了受支持且可以映射到 Microsoft AD 目录中的用户属性的所有 IAM Identity Center 属性。设置应用程序属性映射后,您可以使用这些相同的 IAM Identity Center 属性来映射到该应用程序使用的实际属性。
****
| IAM Identity Center 中 Active Directory 支持的属性 |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |