使用欄位對應可以管理不同帳號系統和IDaaS賬戶或組織的對應關係。本文檔介紹欄位對應的基本概念和操作。
基本概念
通過欄位對應能力,您可以在兩個層面實現IDaaS賬戶與外部帳號的一致性:
賬戶層面:通過賬戶綁定關係將賬戶的狀態保持一致。以匯入DingTalk通訊錄為例,如果某個DingTalk使用者與IDaaS賬戶建立了綁定關係,在DingTalk刪除該使用者時,在IDaaS中也會刪除對應的賬戶。
欄位層面:在賬戶綁定關係的基礎上,通過欄位對應關係將賬戶的資訊保持一致。以匯入DingTalk通訊錄為例,如果將DingTalk使用者的Alibaba Mail作為IDaaS賬戶的顯示名稱,當DingTalk使用者的Alibaba Mail修改時,IDaaS賬戶的顯示名稱也會修改。
只有在刪除IDaaS賬戶/組織/組後,才可刪除綁定關係;組織也支援綁定和欄位對應,但暫不支援映射標識。
欄位對應入口
您可以通過兩個入口配置欄位對應:
建立時:在建立身份提供方時(除了綁定DingTalk-入方向之外),在建立流程中可以配置欄位對應。
修改時:在身份提供方頁面中,單擊修改配置,在彈窗內可切換至欄位對應模組。
映射標識
您可以指定一個映射標識來建立賬戶綁定關係,如果欄位對應兩邊的值相同則進行綁定,主要適用於綁定已在使用的存量帳號。例如,從DingTalk匯入使用者到IDaaS時,假設映射標識如下圖所示,如果DingTalk使用者的Alibaba Mail zh***@example.com和某個IDaaS賬戶的郵箱相同,這兩個賬戶會進行綁定,綁定成功後賬戶的狀態和資訊將保持一致;如果和所有的IDaaS賬戶的郵箱都不相同,則會建立IDaaS賬戶並進行綁定。
不同的身份提供方支援不同的欄位作為映射標識,您可以根據業務需求設定其中一個作為映射標識。您也可以不設定或取消設定。
映射規則
IDaaS目前支援兩種方式進列欄位映射:
選擇欄位:選擇同步來源中的某個欄位,直接將它的值作為同步目標對應欄位的值。IDaaS針對不同的身份提供方會有不同的欄位範圍,如果您所需要的欄位不在範圍內,可使用運算式進行設定。
運算式:通過運算式自訂所需的值,並將它作為同步目標對應欄位的值。使用運算式可以靈活地相容多種情境,例如將DingTalk的郵箱首碼作為IDaaS賬戶名,或者使用不在IDaaS選擇欄位範圍內的欄位。以下為運算式的常見用法:
使用欄位範圍之外的欄位:
DingTalk使用者崗位:
idpUser.titleDingTalk使用者辦公地點:
idpUser.work_placeDingTalk部門負責人:
idpOrganizationalUnit.org_dept_ownerDingTalk的全部欄位請參考《DingTalk使用者欄位》、《DingTalk部門欄位》。
提取郵箱的首碼作為欄位值:
使用DingTalk郵箱首碼:SubstringBefore(idpUser.email,"@")
使用AD UPN首碼:SubstringBefore(idpUser.userPrincipalName,"@")
使用固定值:Trim("myString")
IDaaS運算式中的欄位格式為“idp”+“User/OrganizationUnit”+“.”+“身份提供方中的欄位名”(入方向)或“IDaaS中的欄位名"(出方向),如idpUser.userId。更多運算式範例和文法請查看進階:賬戶欄位運算式。
針對不希望進行映射的欄位,可以單擊移除,此時映射規則將變為不映射,在同步時將不會同步該欄位的資料。