グループ割り当て

認証プロバイダーの設定の一環として、管理者はルールベースのグループを定義できます。ルールベースのグループへのメンバーシップは、ログイン時に評価されるルールに基づいて自動的に割り当てられます。これらのルールは、各認証プロバイダーに対して設定できます。ルールベースのグループを設定するには、コントロールパネル > 認証 > 認証プロバイダー > グループ割り当ての管理に移動し、グループ割り当てエディターを使用します。

割り当てルールメニューの中のグループ割り当てオプション。

ルールベースのグループの定義

Rules

グループ割り当てルールは、ユーザーの属性またはプロバイダーのグループに対して評価される1つ以上の AND 条件を含みます。各ルールについて、すべての条件に一致するユーザーは、指定されたルールベースのグループにメンバーシップが割り当てられます。管理者は、同じグループに適用される別の割り当てルールを定義することで OR 条件を指定できます。

条件は正規表現（regex）パターンを使用して一致させます。以下の3つの一致オプションが提供されています：

パターンが一致するを含む：パターンは、ユーザーのプロバイダーグループの少なくとも1つまたはユーザーの配列型属性の1つの値と一致します。
パターンが一致しないを含む：パターンはユーザーのプロバイダーグループのいずれとも一致せず、またはユーザーの配列型属性の値のいずれとも一致しません。
パターンが一致すると等しい：パターンはユーザーの文字列型属性と一致します。

パターンマッチングを使用したサンプルルール定義。

グループ

Foundryはプラットフォーム全体で3種類のユーザーグループを使用しています：

ルールベースのグループ：ログイン時に適用される管理者定義のルールに使用されます。
内部グループ：Foundry内で手動で割り当てられ、他の外部、ルールベース、または内部グループを含めることができます。
外部グループ：プロバイダーグループとも呼ばれ、これらのグループは通常、認証プロバイダーによって外部で定義されます。これらのグループは、ユーザーがログインする際に取り込まれます。

これら3つのグループタイプのうち、ルールベースのグループメンバーシップだけが、ここで議論される自動化されたルールを使用してFoundryで定義できます。

グループとそのタイプのリスト。

ルールベースのグループは、グループメンバーシップの可読性と一貫性を保証するのに役立ちますので、可能な場合は内部グループよりもルールベースのグループを推奨します。内部グループは、一時的なアクセス、仮のコホート作成、または外部の認証プロバイダーでは満たせない特定のオンボーディングや取消要件の場合に有効です。これらのケースでは、人間参加型のアクセスが必要なため、ルールベースのグループが使用する属性とグループ条件では、アクセスを決定するのに十分でない可能性があります。

サンプルグループとそのグループ割り当てルール。

検証とテスト

コントロールパネル > 認証 > 認証プロバイダー > グループ割り当ての管理 > ルールのテストに移動し、既存のユーザーに対してルールを検証します。これにより、ユーザーが一致するルールと、次回のログイン時に割り当てられるグループが表示されます。ルールのテストパネルでシミュレートできるのは、このプロバイダーで既にログインしたことのあるユーザーだけであることに注意してください。
ルールは、既存のユーザーであれ新規のユーザーであれ、ユーザーがログインするときに適用されます。ルールは保存後に遡って実行されません。
正規表現の正しさは、ルールベースのグループを定義する際の共通の失敗点です。一致しないパターンは、予期しないユーザー割り当てを引き起こしながら静かに失敗する傾向があります。

既存のユーザーに対するルールの検証時のテストルールインターフェース

グループAUMからルールベースのグループへの移行

一部のFoundry認証設定では、グループ非同期ユーザーマネージャー（AUM）と呼ばれるレガシーツールを使用して、ユーザーの自動割り当てを行います。グループAUMはユーザーインターフェースを持たず、顧客の管理者の指示に基づいてPalantirの担当者によって設定されます。

グループAUMが有効になっている顧客のエンロールメントには、ルールベースのグループを使用することはできません。将来的には、グループAUMルールが自動的にルールベースのグループルールに移行されます。