3.6.2 アイデンティティプロバイダー
アイデンティティプロバイダーでは「IdP連携の設定」によるシングルサインオンに関する以下の設定を行います。
- OIDCの追加、確認、編集、削除
- SAMLの追加、確認、編集、削除
- 属性/グループ/ロールのマッピングの追加、確認、編集、削除
- ユーザーデータ再利用方針の設定、確認、変更
- デフォルトのアイデンティティプロバイダーの設定、確認、変更
IdP連携のためのOIDCとSAMLそれぞれの接続設定手順については、「OIDCの接続設定手順」または、「SAMLの接続設定手順」を参照してください。 属性/グループ/ロールのマッピングの概要や設定に必要な説明については「属性/グループ/ロールのマッピング」を参照してください。
(1)アイデンティティプロバイダーの概要
アイデンティティプロバイダーで各種設定を行うためには、ナビゲーションエリアで[接続設定]または[共通設定]を選択します。アイデンティティプロバイダーのツリー情報について以下に示します。
| 項目 | 説明 | |
|---|---|---|
| 接続設定 | [接続設定]画面を開くと、OIDCとSAMLの接続設定の一覧が表示されます。各接続設定をクリックすると詳細画面が表示されます。
|
|
| 共通設定 | ユーザーデータ再利用方針 | IdPと連携するユーザーが、OTOBO上に存在する過去に削除されたユーザーと同一の場合、ユーザー情報を引き継ぐか否かの設定を行います。詳細については「ユーザーデータ再利用方針」を参照してください。 |
| デフォルトのアイデンティティプロバイダー | ログイン時にデフォルトで使用するIdPを設定する場合に指定します。詳細については「デフォルトのアイデンティティプロバイダー」を参照してください。 | |
[接続設定]画面の操作ボタンの種類について、以下に示します。
| 項目 | 説明 |
|---|---|
| OIDCを追加 | OIDCの接続設定を追加します。接続設定の一覧でチェックボックスにチェックしている場合は非活性になります。 詳細については「OIDCの追加」を参照してください。 |
| SAMLを追加 | SAMLの接続設定を追加します。接続設定の一覧でチェックボックスにチェックしている場合は非活性になります。 詳細については「SAMLの追加」を参照してください。 |
| 削除 | 接続設定の削除を行います。接続設定の一覧でチェックボックスに1つもチェックしていない場合は非活性になります。 |
(2)OIDCの追加
OIDCの追加は、[接続設定]画面で[OIDCを追加]ボタンをクリックします。OIDC追加画面に遷移するので、必要な情報を入力し、[保存]ボタンをクリックするとOIDCが追加されます。[キャンセル]ボタンをクリックすると[接続設定]画面に戻ります。
OIDC追加後は、接続設定の詳細画面から追加したOIDCを編集することができます。接続設定の詳細画面については「接続設定の詳細画面」を参照してください。
OIDCの追加と編集では、表示される項目や編集できる項目が異なります。以下に、OIDC追加画面とOIDC編集画面の表示項目について示します。チェックボックスのある項目は、チェックすることでその項目が有効になります。[nonceを無効にする]のみ、チェックすることで無効になります。
| 項目 | 必須 | 説明 | 追加画面 | 編集画面 |
|---|---|---|---|---|
| 一般設定 | ||||
| 有効 | No | この接続設定の有効/無効を切り替えます。無効のOIDCは、Ops Iのログイン画面に表示されず使用できません。 | ◯ | ◯ |
| リダイレクトURI | No | アイデンティティプロバイダーの設定で使用するリダイレクトURIです。 | △ | △ |
| ID | Yes | IDは一意にアイデンティティプロバイダーを識別するもので、リダイレクトURIの構築にも使用されます。 使用できる文字数は1~20文字です。入力可能な文字は以下の通りです。
|
◯ | △ |
| 表示名 | No | アイデンティティプロバイダーのフレンドリ名を指定します。[表示名]はOps Iのログイン画面に表示されます。 | ◯ | ◯ |
| 表示順 | No | [表示名]の表示順序を指定します。昇順に表示されます。表示順序を固定したい場合は昇順になるよう指定してください。 1~1000の値が指定可能です。 |
◯ | ◯ |
| OpenID Connect設定 | ||||
| ディスカバリーエンドポイントを使用する | No | ディスカバリーエンドポイントを使用してアイデンティティプロバイダーの構成を取得するかどうかをチェックします。 | ◯ | - |
| ディスカバリーエンドポイント | Yes | アイデンティティプロバイダーの構成を取得する[ディスカバリーエンドポイント]を指定します。 [ディスカバリーエンドポイントを使用する]が有効の場合表示されます。 |
◯ | - |
| 認可URL※ | Yes | 認可エンドポイントのURLを指定します。 [ディスカバリーエンドポイントを使用する]が無効の場合活性化されます。 |
◯ | ◯ |
| トークンURL※ | Yes | トークンエンドポイントのURLを指定します。 [ディスカバリーエンドポイントを使用する]が無効の場合活性化されます。 |
◯ | ◯ |
| UserInfo URL※ | No | UserInfoエンドポイントのURLを指定します。 [ディスカバリーエンドポイントを使用する]が無効の場合活性化されます。 |
◯ | ◯ |
| 発行者※ | No | レスポンス内の発行者の識別子を指定します。未設定の場合は、検証は実行されません。 [ディスカバリーエンドポイントを使用する]が無効の場合活性化されます。 |
◯ | ◯ |
| 署名の検証※ | No | アイデンティティプロバイダーの署名を検証するかどうかをチェックします。 [ディスカバリーエンドポイントを使用する]が無効の場合活性化されます。 |
◯ | ◯ |
| JWKS URLを使用する※ | No | JWKS(JSON Web Key Sets)のエンドポイントからアイデンティティプロバイダーの公開鍵を取得するかどうかを指定します。使用しない場合は検証用の公開鍵を指定します。 [署名の検証]が有効の場合に表示されます。 |
◯ | ◯ |
| JWKS URL※ | No | JWKSエンドポイントのURLを指定します。 [署名の検証]と[JWKS URLを使用する]が有効の場合に表示されます。 |
◯ | ◯ |
| 検証用の公開鍵 | No | アイデンティティプロバイダーの署名の検証に使用する公開鍵を指定します。 [署名の検証]が有効で[JWKS URLを使用する]が無効の場合に表示されます。 |
◯ | ◯ |
| 検証用の公開鍵ID | No | 検証に使用する公開鍵のIDを指定します。[検証用の公開鍵]を常に使用する場合は空白にします。アイデンティティプロバイダーの鍵のIDと合致した場合のみ[検証用の公開鍵]を使用する場合に設定します。 [署名の検証]が有効で[JWKS URLを使用する]が無効の場合に表示されます。 |
◯ | ◯ |
| PKCEを使用する | No | PKCE(Proof Key for Code Exchange)を使用するかどうかをチェックします。 | ◯ | ◯ |
| PKCE Method | No | PKCEのcode_challengeの生成方法を指定します。 [PKCEを使用する]が有効の場合に表示されます。 |
◯ | ◯ |
| クライアント認証 | No | クライアント認証方法を以下から選択します。
|
◯ | ◯ |
| クライアントID | Yes | アイデンティティプロバイダーで登録されているクライアント識別子を指定します。 | ◯ | ◯ |
| クライアントシークレット | Yes | アイデンティティプロバイダーで登録されているクライアントシークレットを指定します。 | ◯ | ◯ |
| クライアントアサーション署名アルゴリズム | No | [クライアント認証]でJWTアサーションを作成するときの署名アルゴリズムを指定します。[クライアント認証]で[クライアントシークレットをJWT署名する]を選択した場合に設定します。以下から選択します。
|
◯ | ◯ |
| nonceを無効にする | No | 認証リクエストでnonceパラメータを送信するかどうかをチェックします。 | - | ◯ |
| スコープ | No | 要求するスコープを指定します。スペース区切りでスコープのリストを指定します。省略した場合は「openid」と仮定されます。 | - | ◯ |
| プロンプト | No | 認可サーバーがユーザーに要求する必要な対話を指定します。 | - | ◯ |
| 同期モード | No | すべてのマッピングのデフォルトの同期モードを指定します。[同期モード]は、マッピングを使用してユーザーデータを同期するタイミングを決定します。以下から選択します。
|
- | ◯ |
(凡例)◯:編集可能、△:参照のみ可能、-:非表示
※[ディスカバリーエンドポイント]項目でディスカバリーエンドポイントを指定した場合に、IdPの情報が自動入力される項目です。取得した情報によっては、自動入力されない項目もあります。
[ディスカバリーエンドポイント]により自動入力を行った場合、自動入力された項目および[PKCEを使用する]と[PKCE Method]は、参照のみ可能な項目になります。
[ディスカバリーエンドポイント]により自動入力を行った場合、自動入力された項目および[PKCEを使用する]と[PKCE Method]は、参照のみ可能な項目になります。
(3)SAMLの追加
SAMLの追加は、[接続設定]画面で[SAMLを追加]ボタンをクリックします。SAML追加画面に遷移するので、必要な情報を入力し、[保存]ボタンをクリックするとSAMLが保存されます。[キャンセル]ボタンをクリックすると[接続設定]画面に戻ります。
SAML追加後は、接続設定の詳細画面から追加したSAMLを編集することができます。接続設定の詳細画面については「接続設定の詳細画面」を参照してください。
SAMLの追加と編集では、表示される項目や編集できる項目が異なります。以下に、SAML追加画面とSAML編集画面の表示項目について示します。チェックボックスのある項目は、チェックすることでその項目が有効になります。また、項目によっては、項目の内容に対して、選択肢や入力項目が更に表示されるので、画面にあわせて選択および指定してください。
| 項目 | 必須 | 説明 | 追加画面 | 編集画面 |
|---|---|---|---|---|
| 一般設定 | ||||
| 有効 | No | この接続設定の有効/無効を切り替えます。無効のSAMLは、Ops Iのログイン画面に表示されず使用できません。 | ◯ | ◯ |
| リダイレクトURI | No | アイデンティティプロバイダーの設定で使用するリダイレクトURIです。 | △ | △ |
| ID | Yes | IDは一意にアイデンティティプロバイダーを識別するもので、リダイレクトURIの構築にも使用されます。 使用できる文字数は1~20文字です。入力可能な文字は以下の通りです。
|
◯ | △ |
| 表示名 | No | アイデンティティプロバイダーのフレンドリ名を指定します。[表示名]はOps Iのログイン画面に表示されます。 | ◯ | ◯ |
| 表示順 | No | [表示名]の表示順序を指定します。昇順に表示されます。表示順序を固定したい場合は昇順になるよう指定してください。 1~1000の値が指定可能です。 |
◯ | ◯ |
| SAML設定 | ||||
| 設定をファイルからインポートする | No | アイデンティティプロバイダーのメタデータをインポートします。 アイデンティティプロバイダーのメタデータ(XMLファイル)を、[ファイルを選択]ボタンをクリックして選択、または入力フィールドにドロップします。 |
△ | - |
| サービスプロバイダーのエンティティID | Yes | Ops IをSAMLのサービスプロバイダーとして識別するためのエンティティIDを指定します。一般的にURL形式の値を設定します。リダイレクトURIと同じ値にすることを推奨します。 使用できる文字数は1~200文字です。入力可能な文字は以下の通りです。
|
◯ | ◯ |
| アイデンティティプロバイダーのエンティティID※1 | No | アイデンティティプロバイダーを識別するためのエンティティIDを指定します。指定する場合はSAMLアサーションの発行者の検証を行います。空の場合、発行者の検証は実行されません。 | ◯ | ◯ |
| シングルサインオンサービスURL※1 | Yes | 認証リクエスト(SAML AuthnRequest)の送信に使用するURLを指定します。 | ◯ | ◯ |
| NameIDポリシー※1※2 | Yes | ユーザーを識別するNameIDの書式を指定します。デフォルトは[Persistent]です。以下から選択します。
|
◯ | ◯ |
| プリンシパルの追跡に使用する情報※1※2※3 | Yes | SAMLアサーションから外部ユーザーを識別し、追跡する方法を指定します。デフォルトでは[NameID]を使用しますが、属性を使用することもできます。以下から選択します。
|
◯ | ◯ |
| 属性名またはフレンドリ名※3 | Yes | 外部ユーザーを識別するために使用される属性の名前またはフレンドリ名を指定します。 [プリンシパルの追跡に使用する情報]が[属性 [属性名で指定]]または[属性 [フレンドリ名で指定]]の場合に表示されます。 |
◯ | ◯ |
| 識別子の作成を許可する | No | アイデンティティプロバイダーがプリンシパルを表す新しい識別子を作成できるようにします。 | ◯ | ◯ |
| AuthnRequestでHTTP-POSTバインディングを要求※1 | No | AuthnRequestの送信時にHTTP-POSTバインディングを要求するかどうかをチェックします。オフの場合は、HTTP-REDIRECTバインディングを要求します。 | ◯ | ◯ |
| AssertionConsumerServiceでHTTP-POSTバインディングを要求※1 | No | メタデータのAssertionConsumerServiceでHTTP-POSTバインディングを要求するかどうかをチェックします。オフの場合は、HTTP-REDIRECTバインディングを要求します。 | ◯ | ◯ |
| アサーションの署名が必要 | No | このサービスプロバイダーが署名付きアサーションを要求するかどうかをチェックします。セキュリティ維持のため有効にすることを推奨します。 | ◯ | ◯ |
| 署名の検証※1 | No | アイデンティティプロバイダーの署名を検証するかどうかをチェックします。セキュリティ維持のため有効にすることを推奨します。 | ◯ | ◯ |
| 検証用のX509証明書※1 | No | [署名の検証]に使用するX.509証明書を指定します。文字列の形式(ヘッダー、フッター、改行なしのPEM形式)で指定します。複数の証明書を指定する場合はコンマ","で区切ります。 [署名の検証]が有効の場合に表示されます。 |
◯ | ◯ |
| 強制認証する | No | ユーザーがすでにアイデンティティプロバイダーにログインしている場合でも、再認証を強制するかどうかをチェックします。 | ◯ | ◯ |
| 同期モード | No | すべてのマッピングのデフォルトの同期モードを指定します。[同期モード]は、マッピングを使用してユーザーデータを同期するタイミングを決定します。以下から選択します。
| - | ◯ |
(凡例)◯:編集可能、△:参照のみ可能、-:非表示
※1:[設定をファイルからインポートする]項目でアイデンティティプロバイダーのメタデータをインポートした場合に、IdPの情報が自動入力される項目です。取得した情報によっては、自動入力されない項目もあります。
アイデンティティプロバイダーのメタデータにより自動入力を行った場合、自動入力された項目は参照のみ可能な項目になります。
アイデンティティプロバイダーのメタデータにより自動入力を行った場合、自動入力された項目は参照のみ可能な項目になります。
※2:[NameIDポリシー]の[Transient]と[プリンシパルの追跡に使用する情報]の[NameID]の組み合わせで指定することはできません。
※3:Ops IにIdPのユーザーが存在しない場合、識別・追跡に利用した値がユーザー名として設定されます。詳細については「ログイン/ログアウト」を参照してください。
(4)接続設定の詳細画面
[接続設定]画面でID列のリンクをクリックすると、接続設定の詳細画面が表示され、接続設定の確認が行えます。
SAMLの接続設定の詳細画面を表示した場合、[一般設定]エリアに[サービスプロバイダーのメタデータ]ボタンが表示され、クリックするとサービスプロバイダーのメタデータ(XMLファイル)を出力することができます。
接続設定の詳細画面の[関連するリソース]には[マッピング]タブがあり、属性/グループ/ロールのマッピングの設定を行います。詳細については「マッピングタブ」と「属性/グループ/ロールのマッピング」を参照してください。
接続設定の詳細画面の操作ボタンの詳細は以下の通りです。
| 項目 | 説明 |
|---|---|
| 編集 | 接続設定の編集画面が表示され、接続設定の編集を行います。 接続設定の編集画面の表示項目は、OIDCの場合は「(表)OIDC追加画面の表示項目」を、SAMLの場合は「(表)SAML追加画面の表示項目」を参照してください。どちらの場合も、追加時と編集時で表示項目や設定できる項目が異なります。 |
| 削除 | 接続設定の削除を行います。[接続設定]画面の[削除]ボタンからも接続設定の削除は実行できます。詳細は「(表)[接続設定]画面の操作ボタン」を参照してください。 |
(5)マッピングタブ
接続設定の詳細画面の[関連するリソース]-[マッピング]タブに、属性/グループ/ロールのマッピング情報の一覧が表示されます。ここでは、属性/グループ/ロールのマッピングの追加、確認、編集、および削除を行います。
属性/グループ/ロールのマッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。
[マッピング]タブの項目について以下に示します。
| 項目 | 説明 |
|---|---|
| マッピング一覧 | マッピングの一覧が表示されます。カラムは以下の通りです。
|
| 追加ボタン | マッピングの追加を行います。[追加]ボタンをクリックすると[アイデンティティプロバイダーマッピング]画面が表示されます。表示項目については、OIDCの場合は「(表)OIDCアイデンティティプロバイダーマッピング画面の表示項目」、SAMLの場合は「(表)SAMLアイデンティティプロバイダーマッピング画面の表示項目」を参照してください。マッピング一覧でマッピングのチェックボックスにチェックするとボタンが非活性になります。 |
| 削除ボタン | マッピングの削除を行います。マッピング一覧で任意のマッピングのチェックボックスにチェックするとボタンが活性化するので、ボタンをクリックするとマッピングが削除されます。 |
OIDCとSAMLの[アイデンティティプロバイダーマッピング]画面の項目について以下に示します。
マッピングの種類によって表示される項目が異なります。項目欄に番号①~⑨の記載がある項目は、その項目が表示されるマッピングの種類を示しています。番号については[マッピングの種類]項目の説明欄を参照してください。番号の記載がない項目は、すべてのマッピングの種類で表示されます。
(表)OIDCアイデンティティプロバイダーマッピング画面の表示項目
| 項目 | 必須 | 説明 |
|---|---|---|
| 名前 | Yes | マッピングの名前を指定します。マッピング追加時のみ設定可能な項目です。 使用できる文字数は1~255文字です。 |
| 同期モード | Yes | このマッピングの同期モードを指定します。同期モードは、マッピングを使用してユーザーデータを同期するタイミングを決定します。以下から選択します。
|
| マッピングの種類 | Yes | マッピングの種類を以下から選択します。
①固定の属性を割り当て:
固定の属性を設定します。 ②固定のグループを割り当て:
ユーザーを特定のグループに割り当てます。 ③固定のロールを割り当て:
ユーザーに特定のロールを割り当てます。 ④Claimを属性に割り当て:
指定したClaimの値をユーザーの属性に設定します。 ⑤Claimからグループを割り当て:
Claimが指定した条件に合致した場合、ユーザーを指定したグループに割り当てます。 ⑥Claimからロールを割り当て:
ClaimがClaimの条件に合致した場合、ユーザーに指定したロールを割り当てます。 ⑦Claimを属性にテンプレート文字列で割り当て:
Claimがテンプレートで指定した条件に合致した場合、テンプレートで指定した値でユーザーの属性を設定します。 ⑧Claimからグループをテンプレート文字列で割り当て:
Claimがテンプレートで指定した条件に合致した場合、ユーザーをテンプレートで指定したグループに割り当てます。 ⑨Claimからロールをテンプレート文字列で割り当て:
Claimがテンプレートで指定した条件に合致した場合、ユーザーにテンプレートで指定したロールを割り当てます。 |
| ユーザー属性 ①④⑦ |
Yes | 設定先の属性として以下の値を指定できます。
|
| ユーザー属性の値 ① |
Yes | 属性に設定する値を指定します。ユーザー属性に[顧客]を選択した場合は、顧客IDを指定します。 |
| グループ ②⑤ |
Yes | 割り当てるグループを指定します。 |
| ロール ③⑥ |
Yes | 割り当てるロールを指定します。 |
| 条件 ⑤⑥ |
Yes | グループとロールのマッピングの条件を以下の通り指定します。[条件追加]ボタンをクリックすることで、条件を複数指定することができます。条件を複数指定した場合は、すべての条件を満たしている必要があります。 Claim名とClaimの値のペアを設定します。以下の項目を指定してください。Claim名にピリオド(.)を使用することでネストされたClaimを参照することができます。ピリオド(.)を文字として使用する場合は、バックスラッシュ(\)でエスケープします。
|
| Claim ④ |
Yes | 検索対象のClaim名を指定します。ピリオド(.)を使用することでネストされたClaimを参照することができます。ピリオド(.)を文字として使用する場合は、バックスラッシュ(\)でエスケープします。 |
| テンプレート ⑦~⑨ |
Yes | 条件とマッピング先のOps Iの値を、FreeMarkerテンプレート言語でテキスト入力します。 記載方法の詳細は「テンプレート文字列での割り当て」を参照してください。ネストされたClaimの参照には、「==」の記載例のようにブラケット記法を使用してください。 |
※Ops Iでは大文字と小文字でメールアドレスを区別していません。IdPで大文字のメールアドレスを使用している場合は、テンプレートでのマッピングによって以下のように小文字に変換する必要があります。
${authn_info["email"]?c_lower_case}
記載ルールについては「記載ルール、例」を参照してください。
(表)SAMLアイデンティティプロバイダーマッピング画面の表示項目
| 項目 | 必須 | 説明 |
|---|---|---|
| 名前 | Yes | マッピングの名前を指定します。マッピング追加時のみ設定可能な項目です。 使用できる文字数は1~255文字です。 |
| 同期モード | Yes | このマッピングの同期モードを指定します。同期モードは、マッピングを使用してユーザーデータを同期するタイミングを決定します。以下から選択します。
|
| マッピングの種類 | Yes | マッピングの種類を以下から選択します。
①固定の属性を割り当て:
固定の属性を設定します。 ②固定のグループを割り当て:
ユーザーを特定のグループに割り当てます。 ③固定のロールを割り当て:
ユーザーに特定のロールを割り当てます。 ④属性を属性に割り当て:
アサーションの属性の値でユーザーの属性を設定します。 ⑤属性からグループを割り当て:
アサーションの属性が指定した条件に合致した場合、ユーザーを指定したグループに割り当てます。 ⑥属性からロールを割り当て:
アサーションの属性が指定した条件に合致した場合、ユーザーに指定したロールを割り当てます。 ⑦属性を属性にテンプレート文字列で割り当て:
アサーションの属性がテンプレートで指定した条件に合致した場合、テンプレートで指定した値でユーザーの属性を設定します。 ⑧属性からグループをテンプレート文字列で割り当て:
アサーションの属性がテンプレートで指定した条件に合致した場合、ユーザーをテンプレートで指定したグループに割り当てます。 ⑨属性からロールをテンプレート文字列で割り当て:
アサーションの属性がテンプレートで指定した条件に合致した場合、ユーザーにテンプレートで指定したロールを割り当てます。 |
| ユーザー属性 ①④⑦ |
Yes | 設定先の属性として以下の値を指定できます。
|
| ユーザー属性の値 ① |
Yes | 属性に設定する値を指定します。ユーザー属性に[顧客]を選択した場合は、顧客IDを指定します。 |
| グループ ②⑤ |
Yes | 割り当てるグループを指定します。 |
| ロール ③⑥ |
Yes | 割り当てるロールを指定します。 |
| 条件 ⑤⑥ |
Yes | グループとロールのマッピングの条件を以下の通り指定します。[条件追加]ボタンをクリックすることで、条件を複数指定することができます。条件を複数指定した場合は、すべての条件を満たしている必要があります。 属性名と属性値のペアを設定します。指定した属性名でアサーションの属性名とフレンドリ名を検索します。アサーションの属性が配列の場合は属性値が含まれている必要があります。複数のアサーションの属性と合致する場合は少なくとも1つと合致する必要があります。以下の項目を指定してください。
|
| 属性名 ④ |
属性名とフレンドリ名のどちらか一方、または両方の設定が必須 | 検索する属性名を指定します。この値でアサーションの属性名とフレンドリ名を検索し、検索結果に両方とも該当した場合、属性名が優先されます。 また、この値はメタデータのRequestedAttributeに属性名として設定されます。メタデータを出力する場合は必ず指定します。 |
| フレンドリ名 ④ |
検索するフレンドリ名を指定します。この値でアサーションの属性名とフレンドリ名を検索し、検索結果に両方とも該当した場合、属性名が優先されます。 また、この値はメタデータのRequestedAttributeにフレンドリ名として設定されます。 |
|
| Name Format ④ |
Yes | メタデータのRequestedAttributeに設定する属性のName Formatを以下から選択します。
|
| テンプレート ⑦~⑨ |
Yes | 条件とマッピング先のOps Iの値を、FreeMarkerテンプレート言語でテキスト入力します。 記載方法の詳細は「テンプレート文字列での割り当て」を参照してください。 |
※Ops Iでは大文字と小文字でメールアドレスを区別していません。IdPで大文字のメールアドレスを使用している場合は、テンプレートでのマッピングによって以下のように小文字に変換する必要があります。
${authn_info["email"][0]?c_lower_case}
記載ルールについては「記載ルール、例」を参照してください。
項構成
3.6.2.1 共通設定
3.6.2.2 テンプレート文字列での割り当て