Skip to main content

SSOを使用してユーザをグループに自動追加

シングルサインオン(SSO)を使用してユーザをグループに自動的に追加できます。

  1. IDPのSAML設定を以下のように更新します。

    <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml2:Attribute Name="contrast_groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                                xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                                xsi:type="xs:string"
                                >GROUP1</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                                xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                                xsi:type="xs:string"
                                >GROUP2</saml2:AttributeValue>
        ...
    </saml2:Attribute>
</saml2:AttributeStatement>

    重要

    contrast_groupsに列挙する属性値は、既存のグループ名と完全に一致する必要があります。Contrastでは、この属性に列挙された値に基づいて新しいグループは作成されません。

  2. 次にContrast Webインターフェイスの組織の設定で、シングルサインオンを選択し、画面の下部にあるチェックボックスを使用して、以下のいずれかまたは両方を有効にします。

    • SSOログイン時にユーザをContrastグループに追加:ログイン時に、ContrastはSAMLアサーションのcontrast_groups属性に列挙されているグループにユーザを追加します。

    • SSOログイン時にユーザをContrastグループから削除:ログイン時に、ContrastはSAMLアサーションのcontrast_groups属性に列挙されていないグループからユーザを削除します。

参考

  • NameIDとしてのユーザのEメール

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  • 名前と名字

    <saml2:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
                             NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"
                             >
                <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                                      xsi:type="xs:string"
                                      >Dan</saml2:AttributeValue>
            </saml2:Attribute>

<saml2:Attribute Name=" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"
                            >
               <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                                     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                                     xsi:type="xs:string"
                                     >Dan</saml2:AttributeValue>
           </saml2:Attribute>

  • ユーザグループ管理

    <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
<saml2:Attribute Name="contrast_groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:type="xs:string">GROUP1</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:type="xs:string">GROUP2</saml2:AttributeValue>
...
</saml2:Attribute></saml2:AttributeStatement>

関連項目

outline_open_in_new_black_24dp.pngOktaを使用してユーザとグループのプロビジョニングを設定する

outline_open_in_new_black_24dp.pngグループにユーザを自動的に追加するようにADFSを構成する

このセクションの内容: