メインコンテンツへスキップ
セルフサービスシングルサインオン()は、ツールを提供して、B2Bの顧客が独自のエンタープライズ顧客にSSOのセットアップを委任できるようにします。このタスクを委任することで、オンボーディングプロセスを円滑化し、顧客がより自主的に自らのサインオンエクスペリエンスを管理できるようになります。また、カスタマーベース全体でのSSO管理に関連する時間と費用を削減できます。 セルフサービスSSOは、Auth0テナントでの構成を最小限に抑える一方で、顧客には有効化プロセスをガイドするセットアップアシスタントが提供されます。顧客がセットアップを完了すると、SSO統合がエンタープライズ接続としてお客様のテナントに自動的に追加されます。
セルフサービスSSOは、プロフェッショナルプランまたはエンタープライズプランのB2Bのお客様のみご利用いただけます。Dashboardで次のロールを持つユーザーが、この機能を利用できます。
  • 管理者 および編集者 - Connections ユーザーはセルフサービスのプロファイルを作成および管理できます。
  • 閲覧者 - Config ユーザーはセルフサービスのプロフィールのみを表示できます。
サポートされているプロバイダー 早期アクセス期間中、セルフサービスSSOは以下のIDプロバイダーをサポートします。
  • Okta Workforce Identity Cloud(OIDCを使用)
  • Entra ID
  • Google Workspace(OIDCを使用)
  • Keycloak
  • Microsoft Active Directory Federation Services (ADFS)
  • PingFederate
  • Generic OIDC
  • Generic

仕組み

セルフサービスSSOは、以下のコンポーネントを使用してセットアップを顧客に委任します。
  • セルフサービスプロファイル :SSOに使用するIDプロバイダーや、メールアドレスなどの取得が必要なユーザー属性など、顧客のSSO実装の主要な要素を定義します。
  • セルフサービスアクセスチケット :SSOセットアップアシスタントへのアクセス権を顧客の管理者に付与し、結果として得られるSSO統合の具体的な詳細を設定します。
  • SSOセットアップアシスタント :SSOセットアッププロセスについて顧客の管理者をガイドします。

セルフサービスプロファイルを作成する

セルフサービスSSOワークフローには、以下のタスクが含まれます。
  1. お客様(Auth0のご利用者)が、Auth0 DashboardまたはManagement APIを使用してお客様のテナントでセルフサービスプロファイルを作成します。
  2. 次に、Management APIを使用して、顧客の管理者がSSOを構成できるようにするセルフサービスアクセスチケットを作成します。
  3. 手順2で作成したアセットからチケットURLを取得して、このリンクを顧客の管理者に送信します。
  4. 顧客の管理者はSSOセットアップアシスタントを起動して、表示される手順に従い、自身のIDプロバイダーを使ってアプリケーションを作成します。
  5. 顧客のアプリケーションをポイントする新たなエンタープライズ接続がお客様のAuth0テナントに追加されます。
セルフサービスSSO機能のワークフロー図。
図を選択すると表示が拡大されます。

セルフサービスSSOの使用

以下のセクションでは、セルフサービスプロファイルの構成および顧客の管理者と共有するセルフサービスアクセスチケットの生成の手順について詳しく説明します。

セルフサービスアクセスチケットを管理する

セルフサービスプロファイルは、またはを使用して作成できます。セルフサービスプロファイルは、以下を含む顧客実装の主要な要素を決定するために使用されます。
  • 顧客の管理者がSSOに使用できるIDプロバイダー
  • メールアドレスや姓など、SSOを通して取得する必要があるユーザー属性
  • SSOセットアップアシスタントの外観をカスタマイズするブランディングオプション
異なる顧客やセグメントに対応するために、プロファイルは必要に応じて最大20まで作成できます。
Auth0 Dashboardでセルフサービスプロファイルを作成するには:
  1. [Authentication(認証)] > [Enterprise(エンタープライズ)]に移動し、 [Self-Service SSO(セルフサービスSSO)] セクションを開きます。その後、 [Create Profile(プロファイルを作成)] を選択します。
  2. 表示されるスペースで、プロファイル名と任意の説明を入力します。その後、 [Create(作成)] を選択します。
  3. [Settings(設定)] タブで、以下のセクションを完了します。これらのセクションを更新したら、** [Save(保存)]** を選択します。
    • [Identity Providers(IDプロバイダー)] :1つ以上のIDプロバイダーを有効化します。SSO設定アシスタントで、お客様の管理者は、有効化されたプロバイダーのリストから適したオプションを選択できます。
    • [Branding(ブランディング)] :SSO設定アシスタント用のロゴとプライマリカラーを提供します。
    • [Custom Introduction(カスタムイントロダクション)] :必要に応じて、デフォルトのメッセージを変更するか、置き換えます。この導入テキストは、SSO設定アシスタントのランディングページでお客様の管理者に表示されます。メッセージには、太字やハイパーリンクなどの基本的な書式オプションを含めることができます。2,000文字まで使用できます。
  4. [User Profile(ユーザープロファイル] タブで、メールや姓など、お客様がSSOでキャプチャするべきユーザー属性を最大20個追加できます。各属性にrequiredまたはoptionalを設定できます。
    • 設定アシスタントフローでは、必要な値がAuth0に確実に渡されるように、お客様の管理者はこれらの定義済みユーザー属性をIDプロバイダーにマッピングするように求められます。

API

セルフサービスプロファイルを少なくとも1つ作成したら、Management APIを使用してセルフサービスアクセスチケットを生成できます。セルフサービスアクセスチケットは、主に2つの役目を果たします。
  • 顧客の管理者にSSOセットアップアシスタントへのアクセス権を付与します。顧客の管理者はこれを通して新規のSSO接続を構成したり、既存の接続を修正したりできます。
  • 新規接続で有効にするアプリケーションや組織など、顧客の管理者が構成する新規SSO接続の主な詳細情報および動作を事前定義します。

アクセスチケットを生成する

セルフサービスアクセスチケットを生成するには以下を行います。
  1. セルフサービスプロファイル取得エンドポイントを通して、アクセスチケットに関連付けるセルフサービスプロファイルのIDを取得します。
  2. 適切なセルフサービスプロファイルのIDを使用して、SSOアクセスチケットエンドポイントを呼び出します:
POST  /api/v2/self-service-profiles/{id}/sso-ticket 要求本文で、以下の表で説明されているパラメーターを指定します。
セルフサービスアクセスチケットは顧客の管理者にSSOセットアップアシスタントへのアクセスを付与します。ここでは、新しいSSO接続を構成するか、既存の接続を変更することができます。
  • 新規接続用にアクセスチケットを生成する場合は、connection_configパラメーターを使用して、確立されるSSO接続の主要な詳細を定義することができます。
  • アクセスチケットを既存の接続用に作成する場合は、connection_idパラメーターを代わりに使用する必要があります。
既存の接続についてconnection_configの詳細を更新する場合、SSOアクセスチケットエンドポイントは使用できません。既存の接続にこの情報を変更しなければならない場合は、接続更新エンドポイントを使用します。
要求本文の例
応答で、セルフサービスアクセスチケットへのURLを受け取ります。
デフォルトで、アクセスチケットのURLは生成後5日間有効です。URLにアクセスした後、顧客の管理者は5時間以内にセットアップを完了する必要があります。アクセスチケットは10回まで使用できます。この上限に達したら、新しいアクセスチケットをリクエストする必要があります。必要であれば、有効期限が切れる前にアクセスチケットを取り消して、セットアップアシスタントへのアクセスを即座に止めることができます。
チケットURLを受け取ったら、顧客の管理者にそのリンクを共有して、SSOセットアップアシスタントへのアクセス権を付与します。後はセットアップアシスタントがSSO接続の構成についてガイドしてくれます。 アクセスチケット生成を独自のセルフサービスポータルにラップするか、チケットURLをメール、チャット、その他のコミュニケーションチャネルを通して直接顧客の管理者に送信することができます。

アクセスチケットを取り消す

デフォルトでは、アクセスチケットURLは5日間有効です。顧客の管理者は、URLにアクセスしたら5時間以内にセットアップを完了する必要があります。必要に応じて、この有効期限の前にアクセスチケットを取り消すことができます。たとえば、アクセスチケットが誤ったオーディエンスと共有されてしまった場合、SSOセットアップアシスタントへの不正アクセスを防ぐためにチケットを取り消すことができます。 アクセスチケットが取り消されると、そのURLは直ちに無効になり、関連セッションがすべて終了されます。URLを共有した顧客の管理者は、SSOセットアップアシスタントにアクセスできなくなります。その後、必要に応じて新しいアクセスチケットを生成して共有することができます。 アクセスチケットを取り消すには以下を行います。
  1. セルフサービスプロファイル取得エンドポイントを使用して、アクセスチケットに関連付けられているセルフサービスプロファイルのIDを取得します。
  2. 取り消すアクセスチケットのIDを見つけます。IDは、アクセスチケットURLの末尾にあります。
  3. 適切なIDを使用してアクセスチケット取り消しエンドポイントを呼び出します:
POST  /api/v2/self-service-profiles/{id}/sso-ticket/{id}/revoke 応答で、202 Acceptedが返されます。

リファレンス

API

セルフサービスSSOの管理には、以下のManagement APIエンドポイントが使用できます。

レート制限

セルフサービスSSOの使用では、以下のレート制限が適用されます。