Menu Close

12.4. OIDC トークンおよび SAML アサーションマッピング

ID トークン、アクセストークン、または SAML アサーションを受信するアプリケーションは、異なるロールおよびユーザーメタデータが必要になる場合があります。

Red Hat Red Hat Single Sign-On を使用して、以下を実行できます。

  • ロール、要求、およびカスタム属性をハードコーディングする。
  • ユーザーメタデータをトークンまたはアサーションにプルする。
  • ロールの名前を変更します。

これらのアクションは、管理コンソールの Mappers タブで実行します。

マッパータブ

mappers oidc

新しいクライアントにはビルトインマッパーがありませんが、クライアントスコープから一部のマッパーを継承できます。詳細は、「クライアントスコープ」のセクション を参照してください。

プロトコルマッパーは項目(メールアドレスなど)を ID およびアクセストークンの特定の要求にマッピングします。マッパーの機能は、その名前を見ただけでわかるようにしておく必要があります。Add Builtin をクリックして、事前設定されたマッパーを追加します。

各マッパーには共通の設定のセットがあります。マッパーのタイプに応じて、追加の設定を利用できます。マッパーの横にある Edit をクリックして設定画面にアクセスし、これらの設定を調整します。

マッパーの設定

mapper config

各オプションの詳細は、ツールチップの上にマウスをかざして表示できます。

要求を配置する場所を制御するには、ほぼどの OIDC マッパーでも使用できます。Add to ID tokenAdd to access token のスイッチを調整して、id および access トークンから要求を追加するか、または除外することができます。

以下のようにマッパータイプを追加できます。

手順

  1. Mappers タブに移動します。
  2. Create をクリックします。

    マッパーの追加

    add mapper

  3. リストボックスから Mapper Type を選択します。

12.4.1. 優先順位

マッパー実装には優先順位がありますpriority order はマッパーの設定プロパティーではありません。これはマッパーの具体的な実装のプロパティーです。

マッパーは、マッパーのリストの順番別にソートされます。トークンまたはアサーションの変更は、最も低いものから順に適用されます。そのため、他の実装に依存する実装は必要な順序で処理されます。

たとえば、トークンに含まれるロールを計算するには、以下を実行します。

  1. それらのロールに基づいて対象を解決します。
  2. トークンにすでに利用可能なロールおよび対象を使用する JavaScript スクリプトを処理します。