某些预配置的 SAML 应用要求您向用户添加自定义属性。您可以使用架构,利用您创建的这些属性更新用户个人资料。以下示例是针对 Amazon Web Services 云应用量身定制的。它们包含对角色 ARN 和提供方 ARN 的引用,这些引用特定于 Amazon Web Services。
创建自定义架构
- 打开架构插入页面。
- 在 customerId 字段中输入“my_customer”。
在请求正文 区域中,粘贴以下文本:
{ "fields": [ { "fieldName": "role", "fieldType": "STRING", "readAccessType": "ADMINS_AND_SELF", "multiValued": true, "displayName": "role" } ], "schemaName": "SSO" "displayName": "Amazon" }注意:
- 虽然 schemaName 通常可以是任何文本值,但在配置自定义架构以用于 Amazon Web Services 云应用时,必须使用特定值“单点登录”。
- 如果您想使用多个角色,请将 multiValued 设置为 true。
点击 Execute (执行)。
授权访问 Directory API。
您应该会看到 200 OK 响应,并且系统会显示请求的输出。
向用户个人资料添加自定义数据
- 打开用户更新 页面。
- 在 userKey 下,输入您要更新其 个人资料的 Google 用户的电子邮件地址。(您还可以使用邮箱别名或唯一用户 ID。如需了解详情,请参阅 Directory API 文档 。)
在 请求正文 区域中,粘贴以下文本,并将
<role ARN>和<provider ARN>替换为相应的值,这些值可在 Amazon Web Services 云应用 一文中找到。注意:如果自定义字段
type设置为custom,您还必须使用customType参数,并且必须将其设置为一个值,以避免返回 错误。{ "customSchemas": { "SSO": { "role": [ { "value": "<role ARN>,<provider ARN>", "type": "custom" "customType": "SSO" } ] } } }(可选)如需提供对多个角色的访问权限,请在
{}中添加值,并用英文逗号“,”分隔这些值。- 只有在创建架构时将 multiValued 设置为 true,您才能设置多个角色。
- 当有多个角色可用时,系统会提示用户选择要使用的角色。
在此示例中,这两个角色是 SSO 和 tester:
{ "customSchemas": { "SSO": { "role": [ { "value": "arn:aws:iam::038047464115:role/SSO,arn:aws:iam::038047464115:saml-provider/Google", "type": "custom" "customType": "SSO" }, { "value": "arn:aws:iam::038047464115:role/tester,arn:aws:iam::038047464115:saml-provider/Google", "type": "custom" "customType": "tester" } ] } } }点击 Execute (执行)。
授权访问 Directory API。
您应该会看到 200 OK 响应,并且用户个人资料会使用自定义数据进行更新。