Skip to main content

IdP 属性のマッピング

ID プロバイダに保存されているユーザー情報は、ユーザーログインプロセスで Open ID Connect(OIDC)または SAML を通じて DigiCert ONE に転送されます。OIDC の場合、すべての ID Token が転送され、SAML の場合、すべての SAML 属性が転送されます。このユーザー情報は、証明書プロファイルごとにユーザーアクセスを制限し、証明書フィールドのソースとして使用するために後で用いられます。詳細については、「DigiCert ONE Login プロファイルを作成する」を参照してください。

OIDC に必須のクレームと SAML に必須の属性をユーザー作成プロセスで正常に転送する必要があるため、これらの値が ID プロバイダで設定されていることを確認してください。設定は組織で使用している ID プロバイダにより異なります。OIDC の ID Token へのクレーム追加についてはプロバイダのドキュメントを参照するか、SAML の属性を追加してください。

  • OIDC - ID Token クレーム

    ID Token の例:

    {
  "sub": "00abcdflw9aF77gpMzx7",
  "name": "John Doe",
  "first_name": "John",
  "last_name": "Doe",
  "email": "john.doe@digicert.com",
  "iss": "https://dev-261562.okta.com/oauth2/default",
  "aud": "0abcdfnf0cqdZb0Hy4x7",
  "iat": 1711073571,
  "exp": 1711077171,
  "preferred_username": "john.doe@digicert.com",
  "auth_time": 1711073568,
  "groups": [
    "Everyone",
    "Support Group"
  ]
}

    * クレームの値は単一の文字列または文字列のリストのいずれかです。上記のサンプルでは、EveryoneSupport Group の両方が groupsの下に保存されます。

    必須クレーム:

    • メール

    • 名については、given_namefirst_namefirstnamegivenname のうちいずれか 1 つ。

    • 姓については、last_namefamily_namelastnamefamilynamesurnameのうちいずれか 1 つ。

    注記

    [名前]フィールドにスペースが含まれている場合、名前フィールドが優先され、フィールドが名と性に分割されます。

  • SAML - SAML 属性

    SAML アサーションの例:

    <Subject>
  <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user1@test.digicert.com</NameID>
  ...
</Subject>
... 
<AttributeStatement>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
    <AttributeValue>user1@test.digicert.com</AttributeValue>
  </Attribute>
  <Attribute Name="firstName">
    <AttributeValue>Demo</AttributeValue>
  </Attribute>
  <Attribute Name="lastName">
    <AttributeValue>User1</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
    <AttributeValue>CN=DigiCert Test Users,CN=Users,DC=test,DC=digicert,DC=com</AttributeValue>
    <AttributeValue>CN=Remote Management Users,CN=Builtin,DC=test,DC=digicert,DC=com</AttributeValue>
    <AttributeValue>CN=Remote Desktop Users,CN=Builtin,DC=test,DC=digicert,DC=com</AttributeValue>
  </Attribute>
</AttributeStatement>
...

    * 情報の値は単一の文字列または文字列のリストのいずれかです。

    上記のサンプルでは、3 つの属性値が http://schemas.xmlsoap.org/claims/Group に保存されます。

    必須の属性:

    • 名については、given_namefirst_namefirstnamegivennamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname. のうちいずれか 1 つ。

    • 姓については、last_namefamily_namelastnamefamilynamesurnamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname のうちいずれか 1 つ。

    * メールアドレスは Subject.NameID から取得されます。この場合、DigiCert ONE のメールアドレス形式でなければなりません。

上記の設定は組織で使用している ID プロバイダにより異なります。OIDC の ID Token へのクレーム追加についてはプロバイダのドキュメントを参照するか、SAML の属性を追加してください。

このセクションの内容: