Некоторые приложения SAML требуют наличия у пользователей специальных атрибутов. Их можно добавить, обновив профиль пользователя с помощью схемы. Примеры ниже созданы для облачного приложения Amazon Web Services, для работы которого нужны атрибуты Role ARN и Provider ARN.
Как создать пользовательскую схему
- Откройте страницу добавления схемы.
-
Включите авторизацию с помощью OAuth 2.0 и предоставьте доступ для Directory API.
-
Введите "my_customer" в поле customerId.
-
Выберите Freeform editor (Свободный редактор) из раскрывающегося списка в правом верхнем углу поля "Request body" (Тело запроса), а затем вставьте в это поле следующий текст:
{
"fields":
[
{
"fieldName": "role",
"fieldType": "STRING",
"readAccessType": "ADMINS_AND_SELF",
"multiValued": true
}
],
"schemaName": "SSO"
}
Примечание. Значения полей schemaName (имя схемы) и fieldName (имя поля) могут содержать любой текст.
Если вы хотите использовать более одной роли, установите значение true в поле multiValued (многозначный). - Нажмите Execute (Выполнить).
Вы увидите ответ 200 OK и результат выполнения запроса.
Как добавить специальные данные к профилю
-
Откройте страницу создания схемы.
-
Включите авторизацию с помощью OAuth 2.0 и предоставьте доступ для Directory API.
-
Выберите Freeform editor (Свободный редактор) из раскрывающегося списка в правом верхнем углу поля "Request body" (Тело запроса), а затем вставьте в это поле текст ниже. Замените значения полей <role ARN> и <provider ARN> соответствующими значениями, которые доступны в этой статье.
{
"customSchemas":
{
"SSO":
{
"role": [
{
"value": "<role ARN>,<provider ARN>",
"customType": "SSO"
}
]
}
}
}
Примечание. Если вы хотите предоставить доступ более чем к одной роли, продублируйте пару "customType, value", заключив ее в фигурные скобки "{}" и разделив пары между собой запятыми ",".
Настроить более одной роли можно, если вы установили значение true в поле multiValued при добавлении схемы.
В этом случае пользователь сможет выбрать, какую из ролей использовать.
Пример:
{
"customSchemas":
{
"SSO":
{
"role": [
{
"value": "arn:aws:iam::038047464115:role/SSO,arn:aws:iam::038047464115:saml-provider/Google",
"customType": "SSO"
},
{
"value": "arn:aws:iam::038047464115:role/tester,arn:aws:iam::038047464115:saml-provider/Google",
"customType": "tester"
}
]
}
}
}
Здесь представлены роли SSO и tester. -
Нажмите Execute (Выполнить).
Вы увидите ответ 200 OK. В профиле пользователя появятся соответствующие данные.