おさらい
前回まででIdPとトラストサークルの設定、Office365をSPとして登録する部分までが完了しました。
今回はSAML連携するための属性マッピングとユーザーの属性情報変更などを実施する手順を記載します。
エンティティプロバイダの設定変更
Office365とOpenAMユーザー(OpenDJ上に存在するユーザー)を社員番号(employeeNumber)属性でマッピングしようと思います。
まずはOpenAMトップ画面から「FEDERATION」を選択します。
「エンティティプロバイダ」の設定にOffice365の設定が表示されているので「名前」欄のリンクをクリックします。
次にNameIDの書式という項目にemployeeNumberを追加していきます。
Office365は下記のような書式で属性を認識します。
"urn:oasis:names:tc:SAML:2.0:nameid-format:persistent=【マッピングする属性名】"
上記の書式でマッピングするNameIDを追加します。
今回は以下の属性を追加です。
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent=employeeNumber
次に「表明処理」の項目で設定を追加します。
追加するのは「IDPEmail=mail」という属性です。
この「IDPEmail」はOffice365側で指定された属性なので、他の名称に変更することは不可です。
設定を追加したら、「保存」をクリックします。
とりあえず↓のような表示が出れば、OKです。
ここまでの設定でOpenAM側におけるOffice365アカウントの社員番号(employeeNumber)属性、
メールアドレス(UPN)との属性マッピング設定が完了しました。
OpenAMユーザーの属性値変更
次にOpenAMに登録しているユーザーの属性値にOffice365のログインIDとなるUPNの属性を設定します。
OpenAMトップ画面からデータストアを選択します。
次に「対象」を選択して、以前作成したユーザーを選択します。
※この部分に関する操作の詳細は以前の記事に記載しているのでそちらをご覧ください。
【仕事メモ】OpenAM(Ver13) データストアの連携とローカル認証の確認(2)
https://qiita.com/Blue2012/items/e0884082878386937a2d
下記の属性値をそれぞれ編集します。
・電子メールアドレス:ユーザー名@Office365のドメイン名(独自ドメインを取得している場合はその値)
・社員番号:任意の値
属性の編集が完了したら「保存」をクリックします。
ここまででOpenAM側の属性マッピング設定、ユーザー属性の変更作業が完了します。
次回予告
次回はOffice365側のSAML連携設定を行います。
設定が完了するとOpenAMにログインしたユーザーはOffice365にSSO可能になります。