外部認証を使用するユーザー名について
GitHub AE は認証に SAML SSO を使用し、ユーザーが初めて ID プロバイダー (IdP) を介してサインインするときに、各ユーザーのユーザー名を自動的に作成します。
ユーザー名は 39 文字を超えてはなりません。
ユーザー名の正規化について
GitHub AE のユーザー アカウントのユーザー名には、英数字とダッシュ (-) のみを含めることができます。
SAML 認証を構成すると、GitHub AE は IdP 上のユーザー アカウントの識別子を使用して、GitHub AE の対応するユーザー アカウントのユーザー名を決定します。 識別子にサポートされていない文字が含まれている場合、GitHub AE は次の規則に従ってユーザー名を正規化します。
-
GitHub AE は、アカウントのユーザー名に含まれている非英数字をダッシュに変換します。 たとえば、
mona.the.octocatというユーザー名はmona-the-octocatに正規化されます。 変換されたユーザ名の先頭及び末尾はダッシュであってはならないことに注意してください。 2つの連続するダッシュを含めることもできません。 -
メール アドレスから作成されたユーザー名は、
@文字の前の正規化された文字から作成されます。 -
ドメイン アカウントから作成されるユーザー名は、
\\区切りの後の正規化された文字から作成されます。 -
複数のアカウントが変換後に同じ GitHub AE のユーザー名になる場合、最初のユーザー アカウントだけが作成されます。 同じユーザ名のそれ以降のユーザは、サインインできません。
ユーザー名の正規化の例
| プロバイダーの識別子 | GitHub で正規化されたユーザー名 | 結果 |
|---|---|---|
| The.Octocat | the-octocat | このユーザ名の作成は成功します。 |
| !The.Octocat | -the-octocat | このユーザ名はダッシュで始まるので作成されません。 |
| The.Octocat! | the-octocat- | このユーザ名はダッシュで終わるので作成されません。 |
| The!!Octocat | the--octocat | このユーザ名には連続する2つのダッシュが含まれるので作成されません。 |
| The!Octocat | the-octocat | このユーザ名は作成されません。 変換されたユーザ名は正当ですが、すでに存在しています。 |
The.Octocat@example.com | the-octocat | このユーザ名は作成されません。 変換されたユーザ名は正当ですが、すでに存在しています。 |
internal\\The.Octocat | the-octocat | このユーザ名は作成されません。 変換されたユーザ名は正当ですが、すでに存在しています。 |
mona.lisa.the.octocat.from.github.united.states@example.com | mona-lisa-the-octocat-from-github-united-states | このユーザー名は、39 文字の制限を超えているため、作成されません。 |
SAML を使用したユーザー名の正規化について
GitHub AE は、優先順位の降順で並べられた SAML 応答の次のアサーションの 1 つによって、各ユーザーのユーザー名を決定します。
- カスタム
username属性 (定義済みかつ存在する場合) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameアサーション (存在する場合)http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressアサーション (存在する場合)NameID要素
GitHub AE には、他の属性が存在する場合でも NameID 要素が必要です。 詳しくは、「SAML 構成リファレンス」を参照してください。
GitHub AE は、IdP からの NameID と ご自分のエンタープライズ 内のユーザー名の間にマッピングを作成するため、NameID は永続的で一意であり、ユーザーのライフサイクルで変更される可能性はありません。