IdPからメタデータと署名証明書を入手
Auth0で接続を作成するには、IdPから複数の構成メタデータを収集する必要があります。Auth0でSAMLエンタープライズ接続を作成する
またはAuth0 を使用してSAMLエンタープライズ接続を作成できます。- Dashboard
- Management API
- [Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)] に移動し、 [SAML] を選択します。
- [Create Connection(接続を作成する)] を選択します。
-
次の設定を構成します:
| 設定 | 説明 |
| --- | --- |
| Connection Name(接続名) |
SAML-SPなどの接続名を入力します。 | | Sign In URL(サインインURL) | IdPから取得した__サインインURL__を入力します。 | | X509 Signing Certificate(X509署名証明書) | IdPから取得したX509署名証明書ファイル(.pemまたは.cerの形式)をアップロードします。 | | Enable Sign Out(サインアウトの有効化) | __サインアウトURL__フィールドを有効にします。 | | Sign Out URL(サインアウトURL) | IdPから取得した__サインアウトURL__を入力します。 | | User ID Attribute(ユーザーID属性) | SAMLトークンに含まれる属性を入力します。この属性はAuth0のuser_idプロパティにマッピングされます。設定しない場合は、user_idが(ここで記載する優先順に)以下から取得されます:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
HTTP-Redirect:URLパラメーターにメッセージを含めて送信します。HTTP-POST:HTMLフォームにメッセージを含めて送信します。
- [Create(作成)] を選択します。
プロキシゲートウェイのSAML接続を構成する
プロキシゲートウェイの背後にAuth0がある場合は、それに応じてSAML接続のdestinationUrlフィールドとrecipientUrlフィールドを構成する必要があります。
- Management API接続を取得エンドポイントを使用してSAML接続の現在の構成を取得します。
-
返された応答から
optionsオブジェクトの値をコピーします。 -
optionsオブジェクトに次のフィールドを追加します。 | フィールド | タイプ | 値 | | --- | --- | --- | |destinationUrl| 文字列 | プロキシゲートウェイのURL。 | |recipientUrl| 文字列 | プロキシゲートウェイのURL。 | -
要求本文内の更新された
optionsブジェクト全体を使用してManagement API接続の更新エンドポイントを呼び出します。
要求テンプレートのカスタマイズ
Auth0がIdPに認証要求を送信すると、要求本文にAuthnRequestオブジェクトが含まれます。このオブジェクトに使用されるテンプレートをカスタマイズできます。
- [Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に移動し、接続を選択します。
- [Settings(設定)] ビューに切り替えて、 [Request Template(テンプレート要求)] フィールドを見つけます。
- テンプレートを修正します。
- [Save Changes(変更の保存)] を選択します。
テンプレート変数
変数は、@@VariableName@@構文を使用してAuthnRequestテンプレートに配置できます。次の変数を使用できます。
IdPを構成する
SAML IDプロバイダーの構成設定に移動して、IdPに提供する必要のあるメタデータを見つけます。 Auth0は、SAML 1.1またはSAML 2.0プロトコルに準拠する構成ですべてのSAML IdPをサポートしています。特定のプロバイダーを設定するための詳細な手順は次のとおりです。接続をテストする
Dashboardで接続をテストするには:- [Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に移動します。
- 作成した接続を見つけて、 … (3つのドット)メニュー アイコンを選択し、 [Try(試す)] を選択します。
- ユニバーサルログインページが表示され、資格情報の入力を求められます。
- IdPに存在するユーザーのメール アドレスを入力します。ホーム領域検出を構成した場合は、指定されたドメインのいずれかを使用するメールアドレスを入力してください。
- IdPのログイン画面にリダイレクトされたら、通常どおりログインします。
- IdPからAuth0に送信された認証アサーションの内容を表示するAuth0のページにリダイレクトされます。
接続のトラブルシューティング
接続が期待どおりに機能しない場合は、次の手順を試してください。- 各テストの前にブラウザの履歴、クッキー、キャッシュをクリアしてください。そうしないと、ブラウザが最新の構成情報を取得できなかったり、実行に影響する古いクッキーが残る可能性があります。
- ブラウザでクッキーが許可され、JavaScriptが有効になっていることを確認してください。
- トランザクションのHARファイルをキャプチャし、Auth0 SAMLツールを使用してSAMLアサーションをデコードし、そのコンテンツを確認します。