属性クレームガイド
Cloud Oneでの使用方法
一般に、SAML属性およびクレームを設定する場合、 NameID
セットには特定の値を設定します。
Cloud One は、 NameID
を使用しません。 Name
Locale
および Timezone
のオプションの要求のみがマッピングされます。
ただし、NameID
存在しないと、シングルサインオンは機能しません。これは、 NameID
を自動的に設定する他のサービスとは対照的に、値を手動で指定する必要がある ADFS
などの設定では重要です。
My Profile
に移動すると、アカウント内にいるとは見なされません。そのため、他のマッピングとは併用されないため、空のメールが表示されます。
初期設定値
Name
Locale
または Timezone
がIDプロバイダの作成時にマッピングされていないか、IDプロバイダのディレクトリに存在しない/有効でない場合、これらのオプションの要求では次の初期設定値が使用されます。
-
名前:SAMLアサーションの
NameID
になります。NameID
の形式は、IDプロバイダの設定によって決まります。一時的な値ではなく、ユーザのIDに基づく永続的な識別子(メールなど)を使用することをお勧めします。 -
ロケール:ブラウザの言語が
Japanese
に設定されていない場合、English
になります。Cloud Oneの言語ピッカーから以前に言語が選択されている場合は、代わりにそのキャッシュされた値が使用されます。 -
タイムゾーン:初期設定では、現在のブラウザのタイムゾーンが使用されます。
ロケールとタイムゾーンへのマッピング
現在サポートされているロケールは、 en
(英語)および ja
(日本語)です。
タイムゾーンは、
データベース名
と一致する必要があります(例: America/Toronto
) 。
サービスプロバイダからのクレームのカスタマイズ
ほとんどのサービスプロバイダは、クレームをカスタマイズする機能を提供しています。
- Azure ADでは、 Transformationsと呼ばれます。
- Oktaでは、 Expression Languageを使用します。
また、ユーザ参照が異なることに注意してください。最も一般的なのはユーザプロファイル(user.
)ですが、データはアプリケーションユーザプロファイル(appuser.
)またはIdPユーザプロファイル(idpuser.
)から取得することもできます。 - Active Directoryフェデレーションサービス(ADFS)では、 カスタムルールを作成するときにこれを実行できます。
- Googleでは、ユーザプロファイル用に カスタム属性 を作成できます。ただし、現時点では式のサポートはありません。
これを実行する理由の例を次に示します。
- IDプロバイダのユーザディレクトリが不十分な場合、または Cloud Oneの初期設定値を使用しない場合は、新しい名前/タイムゾーン/ロケールフィールドをユーザプロファイルに追加し、それらをマッピング先として使用します。
- 姓と名を組み合わせて、 Cloud Oneの
Name
にマッピングします。 en-US
の形式のMicrosoft製品からpreferredLanguage
を削除してen
のみを返し、Locale
にマッピングします。