Entra ID(Azure AD)とのプロビジョニングのマッピング設定を変更する
はじめに
eラーニングシステムeden LMSでは、Azure ADの標準機能を使って、edenにユーザーIDを自動登録することができます。詳細な手順はAzureADとユーザーID同期を行なう(SCIM)にまとめてあります。
標準ではメールアドレスと氏名のみが同期されますが、それ以外の属性をベースにフォルダ分類やユーザーグループ設定を行なう場合の、手順をここで説明します。
手順
まず、マッピングの設定を変更する手順を説明します。
STEP1: アカウント管理をクリック
STEP2: SSO設定をクリック
STEP3: マッピングのJSONを編集し、保存をクリック
仕様については後述します。
仕様
基本的な仕様
マッピング設定のJSONは以下のようなオブジェクトの配列となります。
{
"src_attribute": "userName",
"dst_attribute": "userid"
}
「src_attribute」にはAzureADから送信されてくるデータの項目名、「src_attribute」にはedenの項目名を入力します。そのため、上記の例であればuserNameをedenのユーザーIDとして登録するという意味になります。 「dst_attribute」には、「userid」「name」「folder」「usergroup」「active」のいずれかを指定できます。1人のユーザーは複数のユーザーグループに所属させることができるので、usergroupへのマッピング項目は複数存在していても問題ありません。
マッピングの例
たとえば「部門」をフォルダにマッピングさせるのであれば、以下のようなJSONとなります。
{
"src_attribute": "title",
"dst_attribute": "usergroup"
}
あるいは「役職」をユーザーグループにマッピングさせるのであれば、以下のようなJSONとなります。
{
"src_attribute": "['urn:ietf:params:scim:schemas:extension:enterprise:2.0:User'].department",
"dst_attribute": "userid"
}
プレフィクスの追加
ユーザーグループまたはマッピングには、「prefix」というフィールドを追加可能です。このフィールドがあると、Azure ADから渡された値に、接頭辞を付与します。「/」でフォルダ区切りになるので、たとえば、以下のようなマッピングであれば、Azure AD上の「役職」が「課長」であった場合、「役職」というユーザーグループフォルダ内に存在する「課長」というユーザーグループに所属させる事ができます。
{
"src_attribute": "title",
"dst_attribute": "usergroup",
"prefix": "役職/"
}
設定例のサンプル
具体的な設定を例を以下に示します。以下のようなマッピングにすると、ユーザ-ID、氏名に加えて、Azure ADの「部署」をedenでのフォルダに、Azure ADの「役職」と「会社(会社名ではありません)」をユーザーグループにマッピングします。
[
{
"src_attribute": "userName",
"dst_attribute": "userid"
},
{
"src_attribute": "displayName",
"dst_attribute": "name"
},
{
"src_attribute": "active",
"dst_attribute": "active"
},
{
"src_attribute": "['urn:ietf:params:scim:schemas:extension:enterprise:2.0:User'].department",
"dst_attribute": "folder",
"prefix": "部署(AD属性)/"
},
{
"src_attribute": "addresses[type eq \"work\"].formatted",
"dst_attribute": "usergroup",
"prefix": "AD属性/会社/"
},
{
"src_attribute": "title",
"dst_attribute": "usergroup",
"prefix": "AD属性/役職/"
}
]
上記の設定で同期を行なうと、以下のような形でマッピングされます。
・Azure AD上の情報(赤枠が今回対象となっている属性です)
・ユーザーフォルダ
・ユーザーグループ
