https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/index.html Recent content in 3.6.2 アイデンティティプロバイダー on JP1 Cloud Service 運用統合 利用ガイド Hugo -- gohugo.io ja https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/idp_common/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/idp_common/index.html [ユーザーデータ再利用方針]と[デフォルトのアイデンティティプロバイダー]の設定について説明します。これらの設定は[アイデンティティプロバイダー]-[共通設定]から実施します。[アイデンティティプロバイダー]の詳細については「アイデンティティプロバイダー」を参照してください。 （1）ユーザーデータ再利用方針 顧客ユーザー、またはOTOBOにアクセスしたことがあるユーザーをOps Iから削除しても、過去に存在したユーザーとして、OTOBO上にそのユーザーとユーザーが作成したリソースとの関連は削除されずに残ります。そのため、ユーザーがIdPと連携前に、IdPを使用してOps Iにログインしたときに、Ops Iの削除したユーザーのユーザー名やメールアドレスと同一だった場合、削除したユーザーの情報を引き継ぐか否かを決めておく必要があります。 [ユーザーデータ再利用方針]では、ユーザー情報を引き継ぐか否かを設定します。[ユーザーデータ再利用方針]は、IdP連携するユーザーが対象で、Ops I共通の設定です。 以下に、[ユーザーデータ再利用方針]画面の項目について示します。 （表）ユーザーデータ再利用方針画面の項目 項目 説明 操作ボタン ユーザーデータ再利用方針の設定を保存します。設定内容を変更するとボタンが活性化します。 [保存]ボタン：ユーザーデータの引き継ぎの設定を保存します。 [元に戻す]ボタン：変更した設定内容をキャンセルして、元の設定に戻します。 ユーザーデータの引き継ぎ ユーザーデータ再利用方針を選択します。 別のユーザーとしデータを引き継がない： 同一とされる削除したユーザーの情報を引き継がず、別のユーザーとしてOps Iに作成してIdPのユーザーと連携します。引き継がれなかったユーザーのユーザー名とメールアドレスは、自動的に変換を行いOTOBOにユーザー情報が保持されます。 同一ユーザーとしデータを引き継ぐ： 同一とされる削除したユーザーの情報を引き継ぎ、同一ユーザーとしてIdPのユーザーと連携します。 以下のケースに合致する場合、[ユーザーデータ再利用方針]の設定にしたがって、ユーザー情報を引き継ぐか否かの動作が自動的に行われます。 （表）ユーザーデータ再利用方針の設定が適用されるケース ケース※ 条件 削除したユーザーとの重複 情報を引き継ぐ場合の対応 情報を引き継がない場合の対応 ユーザー名 メールアドレス IdPからのログインにより、新規ユーザー作成される時（顧客ユーザー以外） IdPからのログインにより、ユーザーの「顧客」の設定が削除される時 削除したユーザーが顧客ユーザー以外 あり 不問 削除したユーザーの情報を引き継ぐ 削除したユーザーのユーザー名が変換される IdPからのログインにより、新規ユーザー作成される時（顧客ユーザー） IdPからのログインにより、ユーザーの「顧客」が設定される時 削除したユーザーが任意の顧客の顧客ユーザー あり なし 削除したユーザーの情報を引き継ぐ 削除したユーザーのユーザー名が変換される なし あり 削除したユーザーの情報を引き継ぐ 削除したユーザーのメールアドレスが変換される あり ユーザー名とメールアドレスが同一の削除したユーザーと重複する場合 削除したユーザーの情報を引き継ぐ 削除したユーザーのユーザー名とメールアドレスが変換される あり ユーザー名とメールアドレスがそれぞれ別の削除したユーザーと重複する場合 メールアドレスが重複した削除済みユーザーの情報を引き継ぎ、ユーザー名と重複した削除済みユーザーのユーザー名が変換される メールアドレスが重複した削除済みユーザーのメールアドレスが変換され、ユーザー名と重複した削除済みユーザーのユーザー名が変換される ※マッピングの設定により顧客が設定、または、削除されます。マッピングについては「マッピングタブ」を参照してください。 削除したユーザー情報の引き継ぎは、Ops Iでユーザーを追加および編集した場合にも発生する場合があります。詳細については「削除したユーザーのOTOBO情報の引き継ぎ」を参照してください。 （2）デフォルトのアイデンティティプロバイダー IdP連携で使用するIdPが1つの場合、そのIdPを[デフォルトのアイデンティティプロバイダー]で設定することができます。これにより、ログイン時にOps Iのログイン画面でIdPを選択せずに、任意のIdPのログイン画面に直接遷移することができます。この時、IdPにログイン済みの場合は、IdPのログイン画面は表示されずに、Ops Iにログインします。 Pre-Installedロール「System Administrator」と「System Security Administrator」が割り当てられたユーザーをリンク済みの状態にしてから[デフォルトのアイデンティティプロバイダー]の設定を行ってください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/idp_template/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/idp_template/index.html アイデンティティプロバイダーマッピング画面ではIdPのユーザー情報とOps Iのユーザー情報のマッピング規則を設定します。テンプレート文字列で割り当てると、条件の値、Claim（OIDCの場合）、および属性（SAMLの場合）と、Ops Iのグループ、ロール、および属性が完全に一致しない場合もマッピング対象として指定できます。その結果、マッピングを複数登録しなくても、さまざまな条件を満たす対象を一度に設定できます。 ここでは次の項目について説明します。 記載ルール、例 アイデンティティプロバイダー設定時のエラー よくある間違い （1）記載ルール、例 テンプレート文字列での割り当てには、ディレクティブ、出力式、条件式、演算子、文字列向け関数、シーケンス向け関数が使用できます。 ここで、varは任意の変数、strは任意の文字列、listは任意のシーケンスを意味します。 【ディレクティブ】 使用できるディレクティブは次の通りです。 （表）使用できるディレクティブ ディレクティブ 説明 使用例 <#-- コメント --> コメントの記載 <#-- コメント --> <#if>...</#if> <#if>...<#elseif>...<#else>...</#if> 条件分岐 <#if>...<#elseif>...<#else>...</#if> <#assign var = "A"> 変数を定義 <#assign var = "A"> <#list items as item>...</#list> listの中の値に個別処理を定義 <#list items as item>...</#list> 【出力式】 使用できる出力式は次の通りです。 （表）使用できる出力式 出力式 説明 使用例 ${} 変数を出力 ${} 【条件式】 使用できる条件式は次の通りです。 （表）使用できる条件式 条件式 説明 使用例 var?? 変数が存在するかどうかを確認 var?? var?has_content 変数が存在し、かつその値が空でないかどうかを確認 var?has_content 【演算子】 使用できる演算子は次の通りです。 （表）使用できる演算子