#OneLogin マッピング機能

この記事は以下のヘルプセンターの内容を非公式で日本語化したものです。
https://support.onelogin.com/hc/en-us/articles/201173404-Mappings

はじめに

OneLoginのマッピング機能では、ユーザーが定義した条件に基づいて、ユーザー属性、役割、およびグループの変更を自動化することができます。
これにより、サード・パーティ・ディレクトリに格納されたユーザの属性に基づいて、アプリケーションのアクセスを許可するロールを自動的に割り当てます。
例えば、マッピング機能を利用してActive Directoryの"memberOf"属性に指定されたセキュリティグループが指定されているユーザーに対して、OneLoginのロール(ロールに定義されたアプリケーションへのアクセス)を割り当てることができます。

重要:マッピングは、手動で設定された値を上書きします。
注意:無効なディレクトリにマッピングを適用することはできません。

前提条件

マッピング機能を利用した自動割当を利用する、OneLoginのロールやグループが事前に定義されている必要があります。

Active Directoryなどのサード・パーティ・ディレクトリのユーザー属性を利用してマッピングをする場合、以下の手順に従い、ディレクトリへのアクティブな接続を行った状態で、マッピングを有効にする必要があります。

  1. 管理者としてOneLoginにログインします。
  2. Users>Directory を選択します。
  3. Advancedタブを選択し、Mappingsを有効にします。
mappings-enable-directory

マッピングの作成

マッピングの設定手順:

  1. Users>Mappingsを選択し、”NEW MAPPING”を押します。
mappings

2. マッピングの名前を設定します。

3. マッピングを行う条件を設定します。

マッピングは、"DistinguishedName","memberOf","Email"など多くのフィールドを利用して条件を設定できます。
条件には、”○○と等しい”,”○を含む”,”○○から始まる”,”○○で終わる”などの閾値を設定することができます。

注意:”DistinguishedName”,”memberOf”を条件として設定する場合は、"equals(等しい)"ではなく"contain(含む)"を条件として使用することを推奨します。

マッピングの条件は複数追加することができます。複数の条件を追加する場合は、ユーザーが"all(すべて)/any(いずれか)"の条件に一致するかどうかを設定することができます。

・all(すべて):
"DepartmentにDocumentationを含む"と"Titleにwriterを含む"の2つの条件がある場合、その2つの条件を満たしたユーザーにマッピングが適用されます。

・any(いずれか):or条件で処理される条件
“DepartmentにDocumentationを含む”と”Titleにwriterを含む”の2つの条件がある場合、そのどちらかの条件を満たしていれば、マッピングが適用されます。

mapping-any

“条件を含まない”マッピング設定を行う事もできます。

4. Actionsの項目では、条件を満たした場合に適用されるオブジェクトを設定します。

Actionsはドロップダウンリストから選択できます。
アクションの中には、あらかじめ定義された値があり、アクションフィールドの右側にドロップダウンで表示されます。
また、編集可能なアクションも用意されており、その場合は、アクションフィールドの右側にある編集ボックスに値を入力します。

アクションが複数設定できます。
矛盾するアクションを設定しないように注意してください。

5. "Save”をクリックします。

重要:マッピングを作成、更新するときはMappings設定のメインページ(マッピング設定がリストされているページ)、または、個々ユーザーのページ(Users>All>Select user)の"REAPPLY ALL MAPPINGS"を押してください。

マッピングのテスト

個々のユーザーに実際にマッピングが適用されるかどうかをテストすることができます。

  1. Users>Mappingsを選択し、リストからテストを行いたいマッピングを選択します。
  2. “Check Conditions with Users (optional)”の項目に確認を行いたいユーザー名を入力し"CHECK"を押します。
    文字を入力すると、一致するユーザー名のリストが表示されます。
mapping-check

CHECKを行うと、このフィールドの下に結果が表示され、ユーザーにマッピングされるかどうかがわかります。

マッピングの並び替え

マッピングの設定は、"Mappings"のページにリストされている順序で適用が行われます。下の例では、次の順序でマッピングが実行されます。

  1. Business Development Mapping
  2. Customer Success Management Mapping
  3. Deprovision
  4. Design Mapping
mapping-list

マッピングが適用される順序が重要になる場合があります。
そのような場合は、マッピングの行を掴むすることで、順序を変更できます。

mapping-list-grab

掴んだ行をドラッグして移動します。

mapping-list-reordered

マッピングのトラブルシューティング

ユーザーに書道で設定している値が別の値で上書きされるのはなぜですか。

ユーザーに手動で設定した値が、別の値で上書きされる場合は、マッピング設定を確認してください。
マッピングは、ユーザーに対して手動で設定したものに競合する場合、その属性を常に上書きします。

例えばユーザーの"Authenticated By"の値が"OneLogin"に設定されているとします。

user-directory

ユーザーを保存すると"Authenticated By"の値が"Active Directory"に変更されます。設定を手動で"OneLogin"変更して保存を行い、値が"Active Directory"になっていることを確認します。

user-directory-back

設定したマッピングを確認してください。
手動で更新したユーザーを含むユーザーの認証ディレクトリを"Active Directory"に自動的にマッピングする設定が行われています。

mapping-directory
Show your support

Clapping shows how much you appreciated Kei Miyazawa’s story.