すべてのプロダクト
Search

このプロダクト

    Identity as a Service:フィールドマッピング

    ドキュメントセンター

    Identity as a Service:フィールドマッピング

    最終更新日:Jan 08, 2025

    フィールドマッピングを使用して、異なるアカウントシステムと Identity as a Service(IDaaS)のアカウントまたは組織との関係を管理できます。このトピックでは、フィールドマッピングに関連する基本概念を紹介し、フィールドをマッピングする方法について説明します。

    概念

    フィールドマッピングを使用して、IDaaS アカウントを外部アカウントと同期できます。

    • アカウント: アカウントをバインドして、アカウントステータスを同期できます。DingTalk からユーザーをインポートした後、DingTalk ユーザーを IDaaS アカウントにバインドすると、DingTalk からユーザーを削除したときに、IDaaS アカウントも削除されます。

    • フィールド: アカウントをバインドした後、アカウントのフィールドをマッピングして、アカウント情報を同期できます。たとえば、DingTalk からユーザーをインポートするときに、DingTalk ユーザーの企業メールアドレスを IDaaS アカウントの表示名として使用できます。DingTalk ユーザーの企業メールアドレスが変更されると、IDaaS アカウントの表示名も変更されます。

    説明

    IDaaS アカウント、組織、またはグループを削除した後にのみ、DingTalk ユーザーを IDaaS アカウント、組織、またはグループからバインド解除できます。また、組織をバインドし、組織のフィールドをマッピングすることもできます。ただし、マッピング識別子は組織では使用できません。

    フィールドマッピングの構成

    次の方法を使用して、フィールドマッピングを構成できます。

    • ID プロバイダー(IdP)を作成するときに、フィールドマッピングを構成します。ただし、DingTalk からデータを同期するために IdP を作成するときは、フィールドマッピングを構成できません。

    • IdP を変更するときに、フィールドマッピングを構成します。[idp] ページで、[設定の変更] をクリックします。表示されるパネルで、[フィールドマッピング] タブをクリックし、フィールドマッピングを構成して、[確認] をクリックします。

    マッピング識別子の構成

    マッピング識別子を指定して、アカウントをバインドできます。アカウントの識別子フィールドの値が同じであれば、アカウントはバインドされます。ほとんどの場合、マッピング識別子は既存のアカウントをバインドするために使用されます。たとえば、DingTalk から IDaaS にユーザーをインポートし、次の図に示すようにマッピング識別子を指定するとします。DingTalk ユーザー zh***@example.com の企業メールアドレスが IDaaS アカウントのメールアドレスと同じであれば、アカウントはバインドされます。既存の IDaaS アカウントに同じメールアドレスがない場合は、IDaaS アカウントが作成され、DingTalk アカウントにバインドされます。アカウントがバインドされると、アカウントのステータスと情報が同期されます。

    説明

    さまざまな IdP で異なるマッピング識別子がサポートされています。ビジネス要件に基づいて、フィールドの 1 つをマッピング識別子として構成できます。マッピング識別子を削除したり、構成しないこともできます。

    マッピングルールの構成

    次のいずれかの方法を使用して、フィールドをマッピングできます。

    • フィールドを選択する: 同期元からフィールドを選択し、フィールド値を宛先フィールドの値として使用します。IDaaS は、異なる IdP に対して異なるフィールドを提供します。必要なフィールドが見つからない場合は、式を指定できます。

    • 式を指定する: 式を指定してフィールドの値をカスタマイズし、その値を宛先フィールドの値として使用できます。さまざまなシナリオに対して式を指定できます。DingTalk アカウントのメールプレフィックスを IDaaS アカウント名として使用したり、[idaas では提供されていない] フィールドを使用したりできます。次の例では、特定の一般的な式について説明します。次の例では、特定の一般的な式について説明します。

      • IDaaS では提供されていないフィールドを使用する:

        • DingTalk でのユーザーの役職: idpUser.title

        • DingTalk でのユーザーの勤務地: idpUser.work_place

        • DingTalk での部門長: idpOrganizationalUnit.org_dept_owner

        • DingTalk フィールドの詳細については、「DingTalk ユーザーフィールド」および「DingTalk 部門フィールド」をご参照ください。

      • メールプレフィックスをフィールド値として使用する:

        • DingTalk でのユーザーのメールプレフィックス: SubstringBefore(idpUser.email,"@")

        • Active Directory(AD)のアカウントのユーザー プリンシパル名(UPN)プレフィックス: SubstringBefore(idpUser.userPrincipalName,"@")

      • 固定値: Trim("myString")

    説明

    IDaaS 式のフィールドは、IDaaS への同期の場合は idp<User/OrganizationUnit>.<IdP のフィールド名> 形式(idpUser.userId など)、IDaaS からの同期の場合は idp<User/OrganizationUnit>.<IDaaS のフィールド名> 形式です。式の例と式の構文の詳細については、「詳細: アカウントフィールドの式」をご参照ください。

    フィールドをマッピングしない場合は、[アクション] 列の [削除] をクリックします。その後、フィールドの [マッピングルール] が [マッピングの無効化] に変更され、このフィールドのデータは同期されません。