メインコンテンツへスキップ

始める前に

Auth0テナントは必ず、Microsoft Entra IDの接続タイプを使ってEntra IDに接続するようにしてください。この統合では2つのアプリケーションをEntra IDで登録する必要があり、それらはOpenID Connect統合とSCIM統合になります。顧客のセットアッププロセスを効率よくするために、Microsoft Entra IDのアプリギャラリーでアプリの公開を検討してください。
Auth0は、Microsoft Entra ID接続タイプでMicrosoft Entra ID(旧Microsoft Azure Active Directory)と統合可能で、ユーザー認証には Connect(OIDC)プロトコルを使用します。これらの手順は新しいEntra ID接続向けのものです。ペアワイズユーザー識別子(sub)を使用する古い接続については、「古い接続」を参照してください。

Auth0でSCIM設定を構成する

  1. Auth0 Dashboardを起動し、 [Authentication(認証)]>[Enterprise(エンタープライズ)]>[Microsoft Entra ID]> [あなたの接続] >[Settings(設定)] に移動します。
  2. [User ID Attribute Type(ユーザーID属性タイプ)][User Object Identifier (oid)(ユーザーオブジェクト識別子(oid))] に設定され、 [Use Common Endpoint(共通のエンドポイントの使用)][Disabled(無効)] になっていることを確認します。
  3. [Provisioning(プロビジョニング)] タブを選択し、ログイン時に追加の属性を同期する場合を除き、 [Sync user profile attributes at each login(ログインの度にユーザープロファイル属性を同期する)] を無効にします。
  4. 同じセクションで、 [Sync user profiles using SCIM(SCIMを使用してユーザープロファイルを同期する)] を有効にします。
  5. [Mapping(マッピング)] タブで、 [SCIM attribute containing the User ID(ユーザーIDを含むSCIM属性)][externalId] に設定されていることを確認します。
  6. [Additional Mappings(追加のマッピング)] で、拡張されたSCIM属性が任意のAuth0属性にマッピングされていることを確認します。詳しくは、「属性マッピング」をご覧ください。

SCIMエンドポイントURLとトークンを取得する

このセクションではを使用しますが、これらの手順はでも管理することができます。ベストプラクティスについては、「導入のガイドライン」セクションをご覧ください。
  1. Auth0 DashboardでSCIMの [Setup(セットアップ)] タブに移動し、 [SCIM Endpoint URL(SCIMエンドポイントURL)] をコピーして、安全な場所に貼り付けます。
  2. [Generate New Token(新しいトークンの生成)] をクリックしてSCIMトークンを生成し、希望する場合はトークンの有効期限を設定します。
  3. 許可したいスコープを選択します。Entra IDが要求するデフォルトのスコープは、get:userspost:userspatch:users、そしてdelete:usersです。

OIDCアプリ用のSCIMをEntra IDで構成する

  1. Azureポータルにある [Microsoft Entra ID]>[App registrations(アプリ登録)] セクションで、ユーザー認証を処理できるようにOpenID Connectアプリケーションがすでに登録されていることを確認します。
  2. [Microsoft Entra ID]>[Enterprise applications(エンタープライズアプリケーション)]> [あなたのoidcアプリ] >[Manage(管理)]>[Properties(プロパティ)] セクションで、OpenID Connectアプリケーションの [Assignment Required(割り当てを要求する)][Yes(はい)] に設定されていること、また [Users and Groups(ユーザーとグループ)] タブにユーザーが割り当てられていることを確認します。
  3. 次に、Azureポータルで新しい [Non-gallery(非ギャラリー)] アプリケーションを登録します。 [Microsoft Entra ID]>[Enterprise applications(エンタープライズアプリケーション)]>[New application(新しいアプリケーション)]>[Create your own application(独自のアプリケーションを作成する)] に移動して、アプリケーション名を入力してから、 [Create(作成)] を選択します。
  4. [Users and Groups(ユーザーとグループ)] タブに移動し、登録済みのOpenID Connectアプリに割り当てられているものと同じEntra IDのユーザーとグループを割り当てます。
  5. [Provisioning(プロビジョニング)] タブを選択し、 [Get started(はじめる)] を選択します。そして、 [Provisioning Mode(プロビジョニングモード)][Automatic(自動)] を選択します。
  6. [Admin Credentials(管理者の資格情報)] を選択し、先ほど保存した [SCIM Endpoint URL(SCIMエンドポイントURL)] 値を [Tenant URL(テナントURL)] に入力します。URLの最後に、?aadOptscim062020クエリパラメーターを追加し、こちらで説明されている既知のEntra IDの問題を修正
  7. [Secret Token(シークレットトークン)] フィールドにトークン値を貼り付け、 [Save(保存)]
  8. [Mappings(マッピング)] に移動し、 [Provision Microsoft Entra ID Users(Microsoft Entra IDユーザーのプロビジョニング)] を選択します。その後、 [Attribute Mappings(属性マッピング)] に移動し、externalIdmailNicknameを含む行の属性を編集します。
  9. [Edit Attribute(属性の編集)] 画面から、 [Source attribute(ソース属性)]objectId に変更し、 [OK] を選択します。
  10. [Attribute Mappings(属性マッピング)] に戻り、emails[type eq "work"].value and mailを含む行を選択します。
  11. [Edit Attribute(属性の編集)] 画面から、 [Match object usng this attribute(この属性を使用してオブジェクトを一致させる)][Yes(はい)] に、 [Matching precedence(一致の優先順位)][2] に設定して、 [OK] を選択します。属性マッピング画面はこのように表示され、SCIM属性を追加で構成するために 属性マッピング セクションを使用し続けます:
SAML Azure Attribute Mapping
属性マッピングを [Save(保存)] し、右上にある [X] を選択すると、 [Provisioning(プロビジョニング)] 画面に戻ります。

テスト

  1. エンタープライズアプリケーションの概要画面で、 [Manage(管理)]>[Provisioning(プロビジョニング)] から、 [Provision on Demand(オンデマンドプロビジョニング)] を選択します。
  2. [Select a user or group(ユーザーまたはグループを選択)] に移動し、アプリケーションに割り当てたユーザーの名前を入力します。その後、ユーザーを選択し、 [Provision(プロビジョニング)] を選択します。これにより、ユーザーがAuth0テナントで作成されます。
  3. 説明に従い[Provisioning Status(プロビジョニングステータス)][On(オン)] に設定することで、すべてのユーザーをプロビジョニングします。
I