事前構成済みの SAML アプリケーションの中には、ユーザーにカスタム属性を追加する必要があるものがあります。スキーマを使用して、作成した属性でユーザー プロファイルを更新できます。以下の例は、Amazon Web Services クラウド アプリケーションに合わせて調整されています。これらには、Amazon Web Services に固有のロール ARN とプロバイダ ARN への参照が含まれています。
カスタム スキーマを作成する
- スキーマ挿入ページを開きます。
- customerId に「my_customer」と入力します。
[リクエスト本文] 領域に、次のテキストを貼り付けます。
{ "fields": [ { "fieldName": "role", "fieldType": "STRING", "readAccessType": "ADMINS_AND_SELF", "multiValued": true, "displayName": "role" } ], "schemaName": "SSO" "displayName": "Amazon" }注:
- 通常、schemaName には任意のテキスト値を指定できますが、Amazon Web Services クラウド アプリケーションで使用するカスタム スキーマを構成する場合は、特定の値「SSO」が必要です。
- 複数のロールを使用する場合は、multiValued を true に設定します。
[実行] をクリックします。
Directory API へのアクセスを承認します。
200 OK レスポンスが表示され、リクエストの出力が表示されます。
ユーザー プロフィールにカスタムデータを追加する
- ユーザー更新ページを開きます。
- userKey に、更新するプロファイルの Google ユーザーのメールアドレスを入力します。(メール エイリアスや一意のユーザー ID を使用することもできます。詳しくは、Directory API のドキュメントをご覧ください。
[リクエスト本文] 領域に次のテキストを貼り付けます。
<role ARN>と<provider ARN>は、Amazon Web Services クラウド アプリケーションの記事で確認できる適切な値に置き換えます。注: カスタム フィールド
typeがcustomに設定されている場合は、customTypeパラメータも使用する必要があります。エラーが返されないように、このパラメータを値に設定する必要があります。{ "customSchemas": { "SSO": { "role": [ { "value": "<role ARN>,<provider ARN>", "type": "custom" "customType": "SSO" } ] } } }(省略可)複数のロールへのアクセス権を付与するには、
{}内に値を追加し、カンマ「,」で区切ります。- 複数のロールを設定できるのは、スキーマの作成時に multiValued を true に設定した場合のみです。
- 複数のロールが利用可能な場合は、使用するロールを選択するようユーザーに求められます。
この例では、2 つのロールは SSO と tester です。
{ "customSchemas": { "SSO": { "role": [ { "value": "arn:aws:iam::038047464115:role/SSO,arn:aws:iam::038047464115:saml-provider/Google", "type": "custom" "customType": "SSO" }, { "value": "arn:aws:iam::038047464115:role/tester,arn:aws:iam::038047464115:saml-provider/Google", "type": "custom" "customType": "tester" } ] } } }[実行] をクリックします。
Directory API へのアクセスを承認します。
200 OK レスポンスが表示され、ユーザー プロファイルがカスタムデータで更新されます。