認証ポリシーでサポートされるヘッダー値式
エンタープライズ・アプリケーションの認証ポリシーを構成する場合、事前定義済のユーザー属性のリストからユーザー属性を選択するか、式を入力することで、アプリケーションに転送されるリクエストにヘッダー変数を追加できます。
認証ポリシーのヘッダーの「値」フィールドで、リストからユーザー属性を選択するかわりに、単純なリテラル文字列または属性識別子を指定できます。属性識別子を使用すると、アプリケーション・ゲートウェイは、認証後に属性識別子を属性の値で置換しようとします。
認証ポリシーでは、次のタイプの属性識別子がサポートされます:
- アプリケーション: この属性識別子は、IAMに登録されたエンタープライズ・アプリケーションの情報にアクセスします。
フォーマット:
$subject.client.<attr> - ユーザー: この属性識別子は、IAMにサインインしたユーザーの情報にアクセスします。
フォーマット:
$subject.user.<attr> - リクエスト: この属性識別子は、リクエスト情報にアクセスします。
フォーマット:
$request.<attr>
ユーザー属性スコープの場合、アプリケーション・ゲートウェイでは、string、booleanまたはintの値など、/admin/v1/UsersからのJSONレスポンスの単純な最上位の属性がサポートされます。
また、アプリケーション・ゲートウェイでは、認証ポリシーのヘッダー値式としてユーザー拡張属性が$subject.user.urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:<attributeName>というフォーマットを使用して、カスタム属性が$subject.user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:<customAttributeName>というフォーマットを使用してサポートされます
|
属性名 |
ヘッダー値式 |
説明 |
|---|---|---|
|
フルネーム |
|
ユーザーのフルネーム。 |
|
ユーザー名 |
|
ユーザーのログイン・ユーザー名。 |
|
電子メール |
その他のタイプの電子メールもサポートされます: |
ユーザーのプライマリ電子メール・アドレス。 |
|
Phone Numbers |
その他のタイプの電話番号もサポートされます: |
ユーザーの電話番号 |
|
アドレス |
|
ユーザーの郵送先住所。 |
|
グループ |
|
直接または間接メンバーシップによってユーザーが割り当てられるカンマ区切りのグループ名のリスト。 |
|
idcsCreatedBy |
|
このリソースを作成したユーザーまたはアプリケーションの表示名。 |
|
idcsLastModifiedBy |
|
このリソースを変更したユーザーまたはアプリケーションの表示名。 |
|
デパートメント |
|
ユーザーの部門。 |
|
従業員番号 |
|
ユーザーの従業員番号。 |
リクエスト属性スコープでサポートされる値の例:
|
属性名 |
ヘッダー値式 |
説明 |
|---|---|---|
|
policy_appname |
|
IAMに登録されているエンタープライズ・アプリケーションの名前を返します。 |
|
policy_name |
|
リクエストに一致する特定のポリシーのポリシー名を返します。 |
|
policy_res |
|
リクエストに一致するリソースURLパターンを返します。フォーマットは"<type>:<pattern>"です 例: |
|
policy_action |
|
リクエストされたリソースへのアクセスに使用されるHTTPメソッド( |
| res_host |
|
元のリクエストからホスト名を返します。 |
|
res_port |
|
元のリクエストからポート番号を返します。 |
|
res_type |
|
元のリクエストのプロトコル(HTTPまたはHTTPS)を返します。 |
|
res_url |
|
リクエストされた完全なURLを返します。 |