リスクと検討事項
IdP起点フローにはセキュリティリスクがあるため、お勧めできません。可能な限り、SP起点フローの使用をお勧めします。 IdP起点SSOを有効にする前に、必ずリスクについて理解しておいてください。このシナリオでは、Auth0がIdPから一方的な応答を受信し、アプリケーションがAuth0から一方的な応答を受信します。どちらのエンティティも、ユーザーがフローを開始したことを確認できません。このため、このフローを有効にすると、ログインCSRF攻撃にさらされる可能性が高まり、攻撃者は正当なユーザーをだまして、攻撃者のIDを使って無意識のうちにアプリケーションにログインさせることができます。OpenID ConnectのIdP起点フロー
Connect(OIDC)は、IdP起点フローの概念をサポートしていません。そのため、Auth0は、(SAML接続からの)SAML IdP起点フローをアプリケーションのOIDC応答に変換できる機能を提供しますが、OIDC/OAuth2プロトコルを適切に実装しているアプリケーションは要求されていない応答を拒否します。 OIDCアプリケーションを使用する場合、最良のオプションは、アプリケーションにログインエンドポイントを作成させることです。このエンドポイントの唯一の目的は、IdP(Auth0テナント)へのリダイレクトを開始することです。 複数のIdPを使用する場合は、ログインエンドポイントがIDプロバイダーに固有であるか、ワークフローを開始するIdPを識別するパラメーターを受け入れられることを確認してください。 別のアプローチとして、ユーザーがアプリケーションでログインフローを開始することもできます。ポストバックURL
IdP起点SSOを使用する場合は、必ずポストバックURLに接続パラメーターを含めてください。ユーザーがこの方法でログインするためには、Organizationに対して接続が有効化されていなければなりません。また、有効な接続でauto-membershipが構成されているか、ユーザーがそのOrganizationのメンバーでなければなりません。
Lock/Auth0.js
アプリケーションが、Lock またはAuth0.jsを使用して認証結果を処理するシングルページアプリケーションの場合は、IdP起点フローを許可することを明示的に示す必要があり、その結果、アプリケーションがログインCSRF攻撃にさらされる可能性があります。 Auth0.jsを使用している場合は、ライブラリーのwebAuth.parseHashを更新し、フラグ __enableIdPInitiatedLoginをtrueに設定する必要があります。
const lock = new Auth0Lock(clientID, domain, options)
フラグ自体は次のとおりです:
var options = { _enableIdPInitiatedLogin: true };
enableIdPInitiatedLoginフラグの前に、Lockで使用する場合は1つのアンダースコア、auth0.jsライブラリーで使用する場合は2つのアンダースコアがそれぞれ付くことに注意してください。
IDP起点SSOをセットアップする
- [Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]の順に移動し、 [SAMLP Identity Provider(SAMLP IDプロバイダー)] を選択します。
-
[Settings(設定)] で、IdP起点SSOの構成を確認できます。
- IdP-initiated SSO Behavior(IdP起点SSOの動作) :このオプションを使用すると、SAML接続に対してIdP起点のログインを有効にすることができます。 [Accept Requests(要求を受け入れる)] を選択し、すべての必須フィールドに値を入力します。
- Default Application(デフォルトのアプリケーション) :IdP起点のログインが成功すると、これがユーザーをルーティングするアプリケーションとなります。この設定には、この接続で有効になっている利用可能なアプリケーションが表示されます。IdP起点でユーザーにログインさせるアプリケーションをドロップダウンから選択します。1つのSAML接続につき、IdP起点のログインに対して選択できるアプリケーションは1つだけです。
-
Response Protocol(応答プロトコル) :これは、選択した デフォルトのアプリケーション の接続に使用するプロトコルです。通常、アプリケーションはOpenID Connectプロトコルを使って構成されます(上記を参照)。ただし、アプリケーションにSAML2 Webアプリアドオンを構成しており、SAMLアサーションをルーティングしたい場合は、SAMLを選択する必要があります。有効なSAMLアサーションがポストバックURLに渡されると、Auth0は、選択された応答プロトコルを使用して、構成されたデフォルトのアプリケーションの最初に許可されたコールバックURLにログイン応答を送信します。OIDCを使用する場合、クエリ文字列フィールドを使用してこのプロトコルを変更し、
redirect_uriを指定することができます。 -
Query String(クエリ文字列) :クエリ文字列のオプションは、OpenID Connectプロトコルが使用されるときの動作をカスタマイズするのに役立ちます。クエリ文字列を使用して、パラメーターの設定に類似した複数のオプションを設定することができます。以下のように設定できます。
設定 説明 redirect_uriIdP起点のログインが完了したら、要求がアプリケーションの__Allowed Callback URLs(許可されているCallback URL)__にリスト表示されている最初のURLにリダイレクトされます。ただし、 redirect_uriを設定している場合、IdPはこのURLにリダイレクトします。これにより、ワイルドカードを使用する設定されたサブドメインスキームがあり、ある特定のサブドメインのみにリダイレクトしたい場合などのケースに柔軟性を追加します。scope送信されたIDトークンのスコープを定義します。複数のスコープを設定できます。 response_typeSPAの暗黙付与フローのトークンを設定します。通常のWebアプリに対して認証コード付与フローのコードを設定できます。 クエリ文字列の例:IdP起点フローでは、Callback URLのドメインが未検証の場合、Auth0サーバーはトークンにあるスコープを削除します。Auth0で未検証のドメインとして定義されているのは、localhostと127.0.0.1のみです。どちらかをCallback URLとして使用すると、/userinfoエンドポイントからのトークンは空の応答を返します。要求したスコープのあるトークン応答を取得するには、検証済みのドメインを使用します。redirect_uri=https://jwt.io&scope=openid email&response_type=token