SAML欄位對應,NameID映射,SAML斷言屬性,IDaaS賬戶屬性同步 - Identity as a Service

通過 SAML IdP 登入時，利用 SAML 斷言中的 AttributeStatement 資料自動同步並更新 IDaaS 賬戶欄位。

基本概念

通過欄位對應能力，可以在以下兩個層面實現 IDaaS 賬戶與外部帳號的一致性：

賬戶層面：通過賬戶綁定關係保持賬戶狀態一致。當整合應用刪除某使用者時，IDaaS 中對應的賬戶也會同步刪除。
欄位層面：在賬戶綁定的基礎上，通過欄位對應關係保持賬戶資訊一致。例如，將整合應用使用者的Alibaba Mail作為 IDaaS 賬戶的顯示名稱，當該郵箱修改時，IDaaS 賬戶的顯示名稱也會同步更新。

說明

只有在刪除 IDaaS 賬戶/組織/組後，才可刪除綁定關係；組織也支援綁定和欄位對應，但暫不支援映射標識。

欄位對應入口

您可以通過以下兩種方式進入字段映射配置頁面：

建立時：在建立身份提供方的流程中直接配置。
修改時：在身份提供方-> 入方向頁面中，單擊修改配置，在彈窗內切換至字段映射模組。

欄位對應配置

在賬戶綁定關係的基礎上，通過欄位對應關係保持賬戶資訊一致。例如，將整合的身份提供方應用使用者的Alibaba Mail作為 IDaaS 賬戶的顯示名稱，當該郵箱修改時，IDaaS 賬戶的顯示名稱也會同步更新。

說明

不同的身份提供方支援不同的欄位作為映射標識。您可以根據業務需求設定其中一個作為映射標識，也可以不設定或取消設定。

映射規則

IDaaS 支援以下兩種欄位對應方式：

映射方式

說明

選擇欄位

選擇同步來源中的某個欄位，直接將它的值作為同步目標對應欄位的值。SAML IdP 欄位維度目前僅支援 username 屬性對應，且會預設產生。

運算式

通過運算式自訂所需的值，並將它作為同步目標對應欄位的值。使用運算式可以靈活地相容多種情境，以下為常見用法：

使用欄位範圍之外的欄位：IDaaS 可以擷取整合應用 SAML 的 AttributeStatement 資料，並映射到 idpUser.attributes 對象中。您可以通過设置字段映射頁面配置扩展字段來擷取需要的資訊。例如，希望從整合應用配置的 SAML XML 中擷取 email：
```
<saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
    <saml2:AttributeValue>te**@test.com</saml2:AttributeValue>
</saml2:Attribute>
```
在设置字段映射頁面，於郵箱（user.email）行，將映射规则選擇為表达式，在字段值中輸入 idpUser.attributes.email.value。如果 SAML XML 中 email 有多個 AttributeValue（即多重值欄位），則在字段值中輸入 idpUser.attributes.email.values。
提取郵箱的首碼作為欄位值：
- 使用郵箱首碼：SubstringBefore(idpUser.attributes.email.value,"@")
- 使用 AD UPN 首碼：SubstringBefore(idpUser.attributes.userPrincipalName.value,"@")
使用固定值：Trim("myString")

說明

IDaaS 運算式中的欄位格式為：入方向為"idp"+"User/OrganizationOU"+"."+"身份提供方中的欄位名"，出方向為"idp"+"User/OrganizationOU"+"."+"IDaaS 中的欄位名"。例如 idpUser.attributes.email.value。更多運算式範例和文法請查看進階賬戶欄位運算式。

針對不希望進行映射的欄位，可以單擊移除，此時映射規則變為不映射，同步時將不會處理該欄位的資料。