IDaaS身份管理之属性映射和表达式

身份体系建设可以高效管理用户，通过提供身份智能快发现和修正用户权限，避免遗漏。通过身份管理，能够增加企业对于账号的使用情况的可见性和降低账号的管理难度。

企业的应用系统并非一天建成，往往经历了很长的周期，建设的部门也并非完全统一，出于不同应用系统的不同要求，命名的规范也不尽相同。因此，要统一管理好身份，那么就需要梳理不同账号之前的关系。

典型场景

我们会发现在各个业务系统中，账号所存储的属性都各不相同，企业中存在AD账号，HR系统，Email系统，OA系统

如何利用原有的基础设施AD——确保密码不变？

如何利用HR系统中的用户属性： 手机、邮箱、部门等？

如何将HR系统中的属性映射到不同的应用系统

这些都将是我们在身份治理中需要考虑内容

需求分解

那么如果通过OneAuth来进行关联，如何配置做到账号的统一？
我们来拆解下需求：

1. 表达式与映射——从HR 到 OneAuth

账号号来源为HR系统，将HR系统中的属性逐一映射到OneAuth
为了简化用户的认证输入，取邮箱的前缀作为登录名

split({email},"@")[0]
##通过以上表达式来取邮箱的前缀
1
2

2. 表达式与映射——从OneAuth到应用

为了满足应用系统的账号登录需求，将Email映射到邮箱，将工号映射到OA系统

eg. 阿里邮箱为例，可以将OneAuth中用户的email映射到阿里企业邮箱的sub

3. OneAuth委托AD认证

为了统一管理密码， 需要用到AD认证，那么则需要通过登录名和AD进行匹配。

通过选择账号与SAMAccountName进行匹配，那么当用户登录OneAuth进行认证是，则会委托AD进行认证，用户直接输入AD的密码即可以认证，从而无需用户记忆额外的密码。

小结

这样，我们就通过【OneAuth】完整的进行了【账号源】与【应用】之间的关联和映射：

通过以上的关联和管理，我们可以在OneAuth中集中的管理用户的身份：

增加了账号管理的透明性和可见性，在统一的平台维护用户的登录

为用户提供了便利，统一使用AD的密码进行登录，避免记忆多套密码