Identity as a Service:フィールドマッピング

基本概念

フィールドマッピングは、以下の 2 つのレベルで外部アカウントと IDaaS アカウントの一貫性を維持します：

• アカウントレベル：アカウントバインディングにより、アカウントの状態の一貫性が維持されます。たとえば、DingTalk からユーザーをインポートする際に、DingTalk ユーザーが IDaaS アカウントにバインドされている場合、DingTalk でそのユーザーを削除すると、IDaaS 内の対応するアカウントも削除されます。

• フィールドレベル：アカウントバインディングが確立されると、フィールドマッピングによってアカウント情報の一貫性が維持されます。たとえば、DingTalk ユーザーの会社のメールアドレスを IDaaS アカウントの表示名にマッピングした場合、DingTalk でメールアドレスが更新されると、IDaaS の表示名も自動的に更新されます。

フィールドマッピングへのアクセス

フィールドマッピングは、以下の場所で構成できます：

• 作成時：ID プロバイダーを作成する際、セットアッププロセスの一部としてフィールドマッピングを構成できます。これは、インバウンドの DingTalk 同期には適用されません。

• 作成後：[ID プロバイダー] ページで、Modify Settings をクリックして、Field Mapping タブに移動します。

[構成の変更] リンクは、ID プロバイダーカードの [IDaaS への同期] セクションにあります。

マッピング識別子

マッピング識別子を指定して、アカウントバインディングを確立できます。ソースシステムと IDaaS の両方で識別子フィールドの値が同じ場合、アカウントはバインドされます。これは主に、既存のアカウントをバインドするために使用されます。たとえば、DingTalk からユーザーをインポートする際に、zh*@example.com のような DingTalk ユーザーの会社のメールアドレスが、既存の IDaaS アカウントのメールアドレスと一致する場合、2 つのアカウントは自動的にバインドされます。バインド後、それらのステータスと情報が同期されます。一致する IDaaS アカウントが見つからない場合、IDaaS は新しいアカウントを作成してバインドします。DingTalk 同期構成の [フィールドマッピング] タブでは、[電話番号] (user.phoneNumber) または [メール] (user.email) フィールドをマッピング識別子として設定できます。

マッピングルール

IDaaS は、2 種類のマッピングルールをサポートしています：

• フィールドの選択：同期元からフィールドを選択し、その値を直接、同期先の対応するフィールドの値として使用します。IDaaS は、さまざまな ID プロバイダー向けに多様なソースフィールドを提供しています。必要なフィールドがリストにない場合は、式を使用できます。

• 式：式を使用すると、同期先のフィールドの値を柔軟にカスタマイズできます。たとえば、DingTalk のメールアドレスのプレフィックスを IDaaS のアカウント名として使用したり、IDaaS の [選択可能なフィールド] にないフィールドを使用したりできます。以下は、式の一般的なユースケースです：

  • デフォルトの選択リスト以外のフィールドの使用：

    • DingTalk ユーザーの役職：idpUser.title

    • DingTalk ユーザーの勤務地：idpUser.work_place

    • DingTalk 部門の所有者：idpOrganizationalUnit.org_dept_owner

    • DingTalk のフィールドの完全なリストについては、「DingTalk ユーザーフィールド」および「DingTalk 部門フィールド」をご参照ください。

  • メールアドレスのプレフィックスをフィールド値として抽出：

    • DingTalk のメールアドレスのプレフィックスを使用：SubstringBefore(idpUser.email,"@")

    • Active Directory (AD) のユーザープリンシパル名 (UPN) のプレフィックスを使用：SubstringBefore(idpUser.userPrincipalName,"@")

  • 固定値の使用：Trim("myString")

フィールドのマッピングを解除するには、[削除] をクリックします。そのデータは同期されなくなります。