全部产品
Search
文档中心

应用身份服务:字段映射

更新时间:Sep 06, 2024

使用字段映射可以管理不同账号系统和IDaaS账户或组织的对应关系。本文档介绍字段映射的基本概念和操作。

基本概念

通过字段映射能力,您可以在两个层面实现IDaaS账户与外部账号的一致性:

  • 账户层面:通过账户绑定关系将账户的状态保持一致。以导入钉钉通讯录为例,如果某个钉钉用户与IDaaS账户建立了绑定关系,在钉钉删除该用户时,在IDaaS中也会删除对应的账户。

  • 字段层面:在账户绑定关系的基础上,通过字段映射关系将账户的信息保持一致。以导入钉钉通讯录为例,如果将钉钉用户的企业邮箱作为IDaaS账户的显示名,当钉钉用户的企业邮箱修改时,IDaaS账户的显示名也会修改。

说明

只有在删除IDaaS账户/组织/组后,才可删除绑定关系;组织也支持绑定和字段映射,但暂不支持映射标识。

字段映射入口

您可以通过两个入口配置字段映射:

  • 创建时:在创建身份提供方时(除了绑定钉钉-入方向之外),在创建流程中可以配置字段映射。

  • 修改时:在身份提供方页面中,单击修改配置,在弹窗内可切换至字段映射模块。

身份提供方

映射标识

您可以指定一个映射标识来建立账户绑定关系,如果字段映射两边的值相同则进行绑定,主要适用于绑定已在使用的存量账号。例如,从钉钉导入用户到IDaaS时,假设映射标识如下图所示,如果钉钉用户的企业邮箱 zh***@example.com和某个IDaaS账户的邮箱相同,这两个账户会进行绑定,绑定成功后账户的状态和信息将保持一致;如果和所有的IDaaS账户的邮箱都不相同,则会创建IDaaS账户并进行绑定。映射标识

说明

不同的身份提供方支持不同的字段作为映射标识,您可以根据业务需求设置其中一个作为映射标识。您也可以不设置或取消设置。

映射规则

IDaaS目前支持两种方式进行字段映射:

  • 选择字段:选择同步来源中的某个字段,直接将它的值作为同步目标对应字段的值。IDaaS针对不同的身份提供方会有不同的字段范围,如果您所需要的字段不在范围内,可使用表达式进行设置。

  • 表达式:通过表达式自定义所需的值,并将它作为同步目标对应字段的值。使用表达式可以灵活地兼容多种场景,例如将钉钉的邮箱前缀作为IDaaS账户名,或者使用不在IDaaS选择字段范围内的字段。以下为表达式的常见用法:

    • 使用字段范围之外的字段:

    • 提取邮箱的前缀作为字段值:

      • 使用钉钉邮箱前缀:SubstringBefore(idpUser.email,"@")

      • 使用AD UPN前缀:SubstringBefore(idpUser.userPrincipalName,"@")

    • 使用固定值:Trim("myString")

说明

IDaaS表达式中的字段格式为“idp”+“User/OrganizationUnit”+“.”+“身份提供方中的字段名”(入方向)或“IDaaS中的字段名"(出方向),如idpUser.userId。更多表达式样例和语法请查看高级:账户字段表达式

针对不希望进行映射的字段,可以单击移除,此时映射规则将变为不映射,在同步时将不会同步该字段的数据。