エンタープライズプロバイダー
ほとんどの企業には、すべての従業員ユーザーとユーザープロファイル情報を含む企業IDリポジトリがすでにあります。これにはパートナーや請負業者に関する情報も含まれているかもしれません。したがって、B2Eシナリオの一般的な要件は、これらのユーザーがSAML2プロバイダー、ADFS、Google Workspace、Azure AD、またはオンプレミスの企業ディレクトリサービスなどのAuth0エンタープライズ接続を介してログインできるようにすることです。これでアプリケーション毎にユーザー名とパスワードを作成する必要がなくなり、すべてのエンタープライズアプリケーションで同じログイン資格情報を利用できるため、ユーザーにとっての利便性が高まります。 これは、ユーザーの資格情報が各アプリケーションではなくIDスタックにのみ公開されるため、社内のセキュリティを高める目的でも特に大きなメリットが見込めます。さらにこのアーキテクチャでは、エンタープライズIDプロバイダーが単一の遮断ポイントを提供するため、企業がアプリケーションへのアクセスを制御できます。ユーザーが退職などで組織を離れる場合、管理者が企業IDプロバイダーでユーザーのアカウントを無効にするだけで、ユーザーはそのIDプロバイダーを使用していずれのアプリケーションにもログインできなくなります。 Auth0を使用すると、いくつかの簡単な手順で設定するだけで、さまざまなエンタープライズプロバイダーを介したログインを有効にできます。グループとロール
ユーザーが多い場合は、グループとロールを設定してアクセスと権限を管理できます。この情報は多くの場合、ディレクトリサービスに保存され、管理されます。 Auth0は、認証中にディレクトリサービスまたはエンタープライズIDプロバイダーから、グループやロールなどのユーザー属性を取得できます。その後、アプリケーションに返されるトークンまたはAuth0 を使用して、属性が利用できるようになります。プロファイル変換
ディレクトリやIDプロバイダーが属性を返す形式と、アプリケーションが使用する形式が異なることがあります。そこでAuth0のルールを使用すると、ユーザープロファイル属性をマッピングおよび変換できます。OIDC/OAuth、SAML、、およびLDAP間で変換することもできます。 たとえば、SAML IDプロバイダーからSAMLアサーション形式で属性を取得します。ルールを使用すると、その属性をOIDC/OAuthアプリケーションのIDトークンのカスタムクレームに変換できます。 ダッシュボードからSAML属性をAuth0ユーザープロファイルにマッピングすることも可能です。これを行うには、[Connections(接続)] > [Enterprise(エンタープライズ)] > [SAMLP Identity Provider(SAMLP IDプロバイダー)]に移動し、SAML接続を選択して、[Mappings(マッピング)] タブで属性マッピングを設定します。拡張されたユーザープロファイルによる拡張性
他のサービスから取得した属性やデータを活用して、ユーザープロファイルを強化することがあります。たとえば、住所や電話番号を受け取り、それを地理的な地域に変換したいような場合です。Auth0ルールを使用すると、認証トランザクション中に実行される小型のコードスニペットを作成できます。これにより、ユーザー情報を取得するためにロジックを実行したり、他のサービスを呼び出したりしてから、Auth0のユーザープロファイルにユーザーメタデータを追加し、必要に応じて結果のトークンをアプリケーションに送信できます。シングルサインオン
社内アプリケーションが複数ある場合は、それらにシングルサインオン(SSO)を設定して、ユーザーのログインが一度で済むように設定できます。 Auth0は、業界標準のIDプロトコルを使用して認証を外部化するアプリケーションとの統合をサポートしています。- OIDC/OAuth
- SAML2
- WS-Fed
シングルサインオンの統合
購入したアプリケーションをAuth0と統合して、シングルサインオン(SSO)を実現することもできます。Auth0は、次のようなアプリケーション向けに、事前構築された統合を提供しています。- Salesforce
- Zendesk
- Slack
- New Relic