目次

属性クレームガイド

Cloud Oneでの使用方法

一般に、SAML属性およびクレームを設定する場合、 NameID セットには特定の値を設定します。

Cloud One は、 NameIDを使用しません。 Name Localeおよび Timezoneのオプションのクレームのみがマッピングされます。

ただし、 NameID が存在する必要があります。そうしないとシングルサインオンが機能しません。これは、 NameID を自動的に設定する他のサービスとは対照的に、値を手動で指定する必要がある ADFS などの設定では重要です。

My Profileに移動すると、アカウント内にいるとは見なされません。そのため、他のマッピングとは併用されないため、空のメールが表示されます。

初期設定値

Name Locale または Timezone がIDプロバイダの作成時にマッピングされていないか、IDプロバイダのディレクトリに存在しない/有効でない場合、これらのオプションの要求では次の初期設定値が使用されます。

  • 名前:SAMLアサーションの NameID になります。 NameID の形式は、IDプロバイダの設定によって決まります。一時的な値ではなく、ユーザのIDに基づく永続的な識別子(メールなど)を使用することをお勧めします。

  • ロケール:ブラウザの言語が Japaneseに設定されていない場合、 English になります。Cloud Oneの言語ピッカーから以前に言語が選択されている場合は、代わりにそのキャッシュされた値が使用されます。

  • タイムゾーン:初期設定では、現在のブラウザのタイムゾーンが使用されます。

ロケールとタイムゾーンへのマッピング

現在サポートされているロケールは、 en (英語)および ja (日本語)です。

タイムゾーンは、 データベース名 と一致する必要があります(例: America/Toronto) 。

サービスプロバイダからのクレームのカスタマイズ

ほとんどのサービスプロバイダは、クレームをカスタマイズする機能を提供しています。

  • Azure ADでは、 Transformationsと呼ばれます。
  • Oktaでは、 Expression Languageを使用します。
    また、ユーザ参照が異なることに注意してください。最も一般的なのはユーザプロファイル(user.)ですが、データはアプリケーションユーザプロファイル(appuser.)またはIdPユーザプロファイル(idpuser.)から取得することもできます。
  • Active Directoryフェデレーションサービス(ADFS)では、 カスタムルールを作成するときにこれを実行できます。
  • Googleでは、ユーザプロファイル用に カスタム属性 を作成できます。ただし、現時点では式のサポートはありません。

これを実行する理由の例を次に示します。

  • IDプロバイダのユーザディレクトリが不十分な場合、または Cloud Oneの初期設定値を使用しない場合は、新しい名前/タイムゾーン/ロケールフィールドをユーザプロファイルに追加し、それらをマッピング先として使用します。
  • 姓と名を組み合わせて、 Cloud Oneの Name にマッピングします。
  • en-USの形式のMicrosoft製品からpreferredLanguageを削除してenのみを返し、Localeにマッピングします。