【Works プロジェクト版】 Entra IDユーザー属性マッピング

ユーザー属性マッピングとグループ属性マッピングの区別

SAML アプリと Alli 間の属性をマッピングする場合、ユーザー個人に 1:1 で付与される「ユーザー属性」と、複数のユーザーが一緒に属する「グループ属性」は設定方法と適用方法が異なります。

  • ユーザー属性マッピングは、名前、電話番号、部門など、各ユーザーに独立して付与される情報をAlliで変数として受け取り、使用する方法です。この時departmentなどの値を Alli のGROUP変数に 1:1 にマッピングすることで、ユーザ個別属性に基づいて Alli グループを設定できます。

  • グループ属性マッピングは、SAMLアプリ内で事前定義されたグループ単位に基づいて、そのグループに属する複数のユーザーをまとめてAlliグループに関連付ける方法です。

たとえば、departmentフィールドをユーザー変数にマッピングすると、各ユーザーの属性に設定されている部門の値がそのユーザーのAlliグループに設定されます。一方、アプリ内でグループ単位でユーザーが結びついていて、そのグループ情報をGROUPに渡された場合、そのグループ単位情報がAlliグループ設定に活用されます。

設定目的に応じてユーザー属性とグループ属性を正確に区分してマッピングを進めてください。

属性マッピングの設定 (Attribute Mapping)

SAMLアプリ内で、AlliとGoogleディレクトリ間の属性マッピングを設定する方法を学びます。

基本

  • EMAILは自動的にマッピングされるため、個別の設定は不要です。

  • Alli では、次のユーザースコープ変数 (User Scope Variables) をサポートしています。

    • FIRST_NAME

    • LAST_NAME

    • GROUP

    • 電話番号などユーザーに紐づく属性情報

  • 次の変数はサポートされていません。

    • FILE

    • CATEGORY

    • DOCUMENTS

    • SNIPPETS

ユーザー変数マッピング

Single-Sign-On > 属性とクレームの編集

マッピングしたい要求の選択または新規追加

  1. 名前にマッピングしたいAliiの変数名を入力します。 (変数名はプロジェクト設定 > 変数で確認できます)

  2. 名前空間に文字列が入っている内容があれば削除してください

  3. ソース属性で、各変数に対応するEntraのプロパティを選択します。 (デフォルトでは、Entraの場合、GivennmaeはFIRST_NAME、SurnameはLAST_NAMEに対応します。)

  4. 保存ボタンをクリックします。

各ユーザー変数名は、Alliダッシュボード>設定>変数タブで確認できます。

ユーザー属性のグループマッピング

GROUP クレーム新規追加

  1. 要求管理の"名前"にGRUOPと入力します。

  2. GRUOPに対応するEntraのプロパティ(ソース属性)を選択します。

  • AlliのグループとEntraのグループをマッピングするには、あらかじめ、部門やグループ情報がAlliにも同様に登録(メンバー>グループ管理)されている必要があります。

  1. 保存ボタンをクリックします。

グループの作成と権限の割り当て

  1. Alliダッシュボード>設定>メンバー>グループタブに移動します。

  2. 必要なグループを作成します。

  3. 各グループに必要な権限を割り当てます。

以下のように連動したSAMLアプリでログインしたユーザーは、マッピングした各変数が自動的に割り当てられ、詳細はすべてのメンバータブで確認できます。

グループ属性マッピングの場合

Alliと連携する適切なSSOアプリ内にグループ組織(ユーザーをまとめた単位)を追加します。

  • ユーザーが2つ以上のグループに属している場合にも対応しております。

  1. クレーム管理でグループクレームを追加します。

  2. アプリケーションで割り当てられたグループ/クラウドのみのグループ表示名を選択します。

  3. [詳細オプション] をクリックし、[グループ クレーム名のカスタマイズ] をクリックします。

  4. 名前(必須)にGROUPと入力して[保存]ボタンをクリックします。

    1. 上記のグループ情報がAlliにも同じように登録されている必要があります。

  5. 保存ボタンをクリックします。

グループの作成と権限の割り当て

  1. Alliダッシュボード>設定>メンバー>グループタブに移動します。

  2. 必要なグループを作成します。

  3. 各グループに必要な権限を割り当てます。

SAML 方式で連動した SSO アプリを通じてログインするユーザーの場合、その SSO アプリで複数のグループに属していても、その情報は自動的に Alli に反映されます。

  • ユーザーがログインするたびに、SAMLアプリに登録されているグループ情報がAlliに自動的に更新され、反映されます。

  • したがって、SSOアプリでユーザーのグループの変更(追加、削除など)が発生すると、次回のログイン時にその変更がAlliにも適用されます。

ただし、最上位の管理者権限は、Alliシステム内でのみ設定可能な一意の権限です。この権限は、IDP(SAMLインターロックシステム)とは無関係にAlliダッシュボードで個別に管理されるため、ログイン時に自動的に反映されません。

前へ【Worksプロジェクト版】Entra ID SAML SSO認証次へ【Worksプロジェクト版】Okta SAML SSO認証

最終更新