13.4. OIDC トークンおよび SAML アサーションマッピング

ID トークン、アクセストークン、または SAML アサーションを受信するアプリケーションは、異なるロールおよびユーザーメタデータが必要になる場合があります。

Red Hat build of Keycloak では、以下を行えます。

これらのアクションは、管理コンソールの Mappers タブで実行します。

Mappers タブ

mappers oidc

新しいクライアントにはビルトインマッパーがありませんが、クライアントスコープから一部のマッパーを継承できます。詳細は、クライアントスコープのセクションを参照してください。

プロトコルマッパーは、項目 (メールアドレスなど) を ID およびアクセストークン内の特定のクレームにマッピングします。マッパーの機能は、その名前を見ただけでわかるようにしておく必要があります。Add Builtin をクリックして、事前設定されたマッパーを追加します。

各マッパーには共通の設定のセットがあります。マッパーのタイプに応じて、追加の設定を利用できます。マッパーの横にある Edit をクリックして設定画面にアクセスし、これらの設定を調整します。

マッパーの設定

mapper config

各オプションの詳細は、ツールチップの上にマウスをかざして表示できます。

ほとんどの OIDC マッパーは、クレームを配置する場所を制御するのに使用できます。Add to ID token および Add to access token スイッチを調整して、id トークンと アクセス トークンにクレームを含めるか除外するかを選択します。

以下のようにマッパータイプを追加できます。

手順

マッパー実装には 優先順位 があります。優先順位 はマッパーの設定プロパティーではありません。これはマッパーの具体的な実装のプロパティーです。

マッパーは、マッパーリストの順番にソートされます。トークンまたはアサーションの変更は、最も低いものから順に適用されます。そのため、他の実装に依存する実装は必要な順序で処理されます。

たとえば、トークンに含まれるロールを計算するには、以下を実行します。