メインコンテンツへスキップ
Auth0を使用すると、 IDプロバイダー()の接続を作成することができます。

前提条件

始める前に以下を行います。
  • Auth0にアプリケーションを登録します
    • 適切な [Application Type(アプリケーションタイプ)] を選択します。
    • {https://yourApp/callback}[Allowed Callback URL(許可されているコールバックURL)] を追加します。
    • アプリケーションの付与タイプに適切なフローが必ず含まれていることを確認してください。
  • このエンタープライズ接続の名前を決める
    • ポストバックURL(別称、Assertion Consumer Service URL)は次のようになります:https://{yourDomain}/login/callback?connection={yourConnectionName}
    • エンティティIDは次のようになります:urn:auth0:{yourTenant}:{yourConnectionName}

手順

アプリケーションをSAML IDプロバイダーに接続するには、以下を行います。
  1. IdPにポストバックURLとエンティティIDを入力します(方法については、「SAML IDプロバイダー構成の設定」をお読みください)。
  2. IdPから署名証明書を入手して、Base64に変換します。
  3. Auth0でエンタープライズ接続を作成します。
  4. Auth0アプリケーションでエンタープライズ接続を有効にします。
  5. マッピングをセットアップします(ほとんどの場合には必要ありません)。
  6. 接続をテストします。

IdPから署名証明書を入手する

SAMLログインでは、Auth0はサービスプロバイダーとして機能するため、SAML IdPから署名されたX.509証明書(PEMまたはCER形式)を取得する必要があります。これは後でAuth0にアップロードします。この証明書の取得にはさまざまな方法があるため、詳しい情報が必要な場合には、使用しているIdPのドキュメントを参照してください。

署名証明書をBase64に変換する

署名されたX.509証明書のアップロードには、またはを使用することができます。Management APIを使用する場合には、ファイルをBase64に変換しなければなりません。これを行うには、シンプルなオンラインツールを使用するか、Bashで以下のコマンドを実行します:cat signing-cert.crt | base64

Auth0でエンタープライズ接続を作成する

次に、Auth0でSAMLのエンタープライズ接続を作成・構成してから、署名されたX.509証明書をアップロードする必要があります。この作業には、Auth0 DashboardまたはManagement APIを使用することができます。

Dashboardを使用してエンタープライズ接続を作成する

  1. [Auth0 Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]に移動し、 [SAML] の[+]を選択します。
    Dashboard - 接続 -エンタープライズ
  2. 接続の詳細を入力し、 [Create(作成)] をクリックします。
    Configure SAML Settings
  3. [Provisioning(プロビジョニング)] ビューでユーザープロファイルがAuth0で作成および更新される方法を構成することができます。 | フィールド | 説明 | | --- | --- | | Sync user profile attributes at each login(ログインごとにユーザープロファイル属性を同期する) | 有効な場合、ユーザーがログインするたびにユーザープロファイルデータを自動的に同期するため、接続ソースで加えられた変更はAuth0で自動的に更新されます。 | | Sync user profiles using SCIM(SCIMを使ってユーザープロファイルを同期する) | 有効な場合、SCIMを使ってユーザープロファイルデータを同期することができます。詳細については、「インバウンドSCIMを構成する」を参照してください。 |
  4. [Login Experience(ログインエクスペリエンス)] ビューでこの接続でのユーザーログインの方法を構成することができます。 | フィールド | 説明 | | --- | --- | | ホームレルムディスカバリー | ユーザーのメールドメインを、指定されたIDプロバイダードメインと比較します。詳細については、[識別子優先認証の構成]を参照してください。(https://auth0.com/docs/ja-jp/authenticate/login/auth0-universal-login/identifier-first) | | 接続ボタンを表示 | このオプションでは、アプリケーションの接続ボタンをカスタマイズするため次の選択肢が表示されます。 | | Button display name(ボタン表示名) (オプション) | ユニバーサルログインのログインボタンをカスタマイズするために使用されるテキスト。設定されるとボタンは以下を読み取ります:“Continue with {Button display name}” | | Button logo(ボタンロゴ)URL (任意) | ユニバーサルログインのログインボタンをカスタマイズするために使用される画像のURL。設定されると、ユニバーサルログインのログインボタンは、20px×20pxの四角で画像を表示します。 |
    任意のフィールドは、New Universal Loginでのみ使用することができます。Classic Loginを使用している場合、[Add(追加)]ボタン、ボタンの表示名、ボタンロゴのURLは表示されません。
  5. 統合を完了するのに必要な管理者権限を持っている場合には、 [Continue(続行)] をクリックして、IdPの構成に必要なカスタムパラメーターについて調べます。管理者権限を持っていない場合には、提示されたURLを管理者に提供して必要な設定を調整してもらってください。

Management APIを使用してエンタープライズ接続を作成する

Management APIを使用して、SAML接続を作成することもできます。その際には、SAMLの構成フィールドをそれぞれ手動で指定するか、構成値のあるSAMLメタデータドキュメントを指定することができます。

指定した値を使って接続を作成する

接続作成エンドポイントPOST呼び出しを行います。MGMT_API_ACCESS_TOKENCONNECTION_NAMESIGN_IN_ENDPOINT_URLSIGN_OUT_ENDPOINT_URLBASE64_SIGNING_CERTのプレースホルダーをそれぞれManagement APIのアクセストークン、接続名、サインインURL、サインアウトURLとBase64エンコードされた署名証明書(PEMまたはCERの形式)に置き換えます。 または、以下のJSONを使用します。

SAMLメタデータを使って接続を作成する

SAMLの構成フィールドをそれぞれ指定する代わりに、構成値のあるSAMLメタデータドキュメントを指定することができます。SAMLメタデータドキュメントを指定する際には、ドキュメントのXMLコンテンツ(metadataXml)またはドキュメントのURL(metadataUrl)を提供しても構いません。URLを提供すると、コンテンツが一度だけダウンロードされます。後でURLのコンテンツが変更されても、接続は自動的には再構成されません。
メタデータドキュメントのコンテンツを提供する
metadataXmlオプションを使用して、ドキュメントの内容を提供します。
メタデータドキュメントのURLを提供する
metadataUrlオプションを使用して、ドキュメントのURLを提供します。 URLを提供すると、コンテンツが一度だけダウンロードされます。後でURLのコンテンツが変更されても、接続は自動的には再構成されません。
メタデータURLを使って既存の接続情報を更新する
この処理は、metadataUrlを使って手動で接続を作成した場合にのみ機能します。
B2Bを統合していて、独自のSAML IDプロバイダーでAuth0にフェデレーションしている場合には、Auth0に保管されている接続情報を更新して、署名証明書の変更、エンドポイントURLの変更や新しいアサーションフィールドなどを反映させる必要があるかもしれません。Auth0はこれをADFS接続に対しては自動的に行いますが、SAML接続に対しては行いません。 定期的に更新するために、バッチプロセス(cronジョブ)を作成することができます。このプロセスは数週間ごとに実行され、/api/v2/connections/CONNECTION_IDエンドポイントにPATCH呼び出しを行い、本文に{options:{metadataUrl:'$URL'}}を含めて渡します。ここで、$URLは接続の作成に使ったのと同じメタデータURLになります。メタデータURLを使って一時的な接続を新たに作成してから、新旧の接続のプロパティを比較します。違いがある場合には、新しい接続を更新してから、一時的な接続を削除します。
  1. options.metadataUrlを使用してSAML接続を作成します。接続オブジェクトにメタデータからの情報が追加されます。
  2. URLのメタデータコンテンツを更新します。
  3. /api/v2/connections/CONNECTION_IDエンドポイントに対して、{options:{metadataUrl:'$URL'}}を含めてPATCH呼び出しを行います。これで、接続オブジェクトが新しいメタデータコンテンツで更新されました。
optionsパラメーターを使用する場合は、optionsオブジェクト全体をオーバーライドすることになります。すべてのパラメーターが存在することを確認してください。

カスタムエンティティIDを指定する

カスタムエンティティIDを指定するには、Management APIを使用してデフォルトのurn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAMEをオーバーライドします。接続が新規作成の場合や、既存の接続を更新する場合には、connection.options.entityIDプロパティを設定します。 以下のJSONの例を使用すると、カスタムエンティティIDを指定し、SAML IdPのメタデータURLを使って新しいSAML接続を作成することができます。エンティティIDは、接続名を使って作成されているため、一意のままになります。

Auth0アプリケーションでエンタープライズ接続を有効化する

新しいSAMLエンタープライズ接続を使用するには、まずAuth0アプリケーションの接続を有効化する必要があります。

マッピングをセットアップする

標準以外のPingFederateサーバーに対してSAMLエンタープライズ接続を構成する場合は、属性マッピングを 更新しなければなりません
[Mappings(マッピング)] ビューを選択し、{}間のマッピングを入力してから [Save(保存)] を選択します。
Configure SAML Mappings
非標準のPingFederateサーバーのマッピング
Circleのマッピング
1つのユーザー属性に2つのクレームのうち1つをマッピング
名前識別子をユーザー属性にマッピングする方法

接続をテストする

これで接続をテストする準備が整いました。

グローバルトークン取り消しを構成する

この接続タイプはグローバルトークン取り消しエンドポイントに対応しており、準拠しているIDプロバイダーがAuth0ユーザーセッションとリフレッシュトークンを取り消し、安全なバックチャネルを使用してアプリケーションのバックチャネルログアウトをトリガーできます。 この機能はOkta Workforce Identity Cloudでユニバーサルログアウトと併用できます。 詳しい情報と構成手順については、「ユニバーサルログアウト」を参照してください。

もっと詳しく