ユーザーに関連付けられたロールを管理するには、Auth0にユーザーアカウントが存在しなければなりません。メンバーシップに関連付けられたAuth0 Organizationロール機能を使用している場合にも当てはまります。ただし、ユーザー招待ワークフローでプロビジョニングされるユーザーアカウントには、招待プロセスの一部として自動的にロールが割り当てられることがあります。詳細については、「組織メンバーを招待する」を参照してください。他のメカニズムを使用してユーザーを事前登録している場合は、初回認証時に、ロール情報をAuth0の外部に保存し、拡張性を使用して(たとえば、ルールの一環として)アクセス/コピーしなければなりません。
ベストプラクティスOrganization関連のシナリオでは、必ずメールアドレスを検証する必要があります。そのため、セルフサービスのメールアドレス検証機能を提供することで、別の検証方法がない状況に対応する必要があります。詳細については、「メールアドレス検証」を参照してください。
データベース接続
Auth0では、Auth0 を使って、プロファイルのセルフサービス管理のサポートを実装できるようにしています。Auth0 Organizationsを使用して招待ベースのユーザープロビジョニングを提供している場合には、IDプロバイダー(IdP)であるAuth0テナントが通常所有しているフィールドに対して、変更を制約しなければならない可能性があります。たとえば、メールアドレスへの変更を制約して、ユーザーが招待の宛先以外のメールアドレスを使用できないようにします。メールアドレスフィールドへの変更を制約すると、企業特有のメールが個人のメールアドレスに入力されることを防ぎます。 別の方法として、Auth0のデータベース接続で認証するユーザーにセルフサービス項目をいくつか提供することができます。ユーザーが以下を行えるようにします。- メールアドレスを変更する
- 関連の電話番号を変更する
- ユーザー名を変更する
- 規制順守(GDPRなど)の一環として、アカウントのプロビジョニングを解除する
- パスワード変更処理を行う。一般的にパスワードリセットの実装をお勧めします。これには組織特定のブランディングを活用でき、詳細は「ブランディング:パスワードリセットページ
</>」に記載されています。
セルフサービス機能は、一般にAuth0の外部で実装し、ホストする必要があります。また、高い安全性が求められます。
エンタープライズ接続
アップストリームのIDプロバイダー(IdP)は通常、IdPが管理するユーザープロファイル属性を処理するため、このユースケースではプロファイル管理はほぼ存在しません。ただし、アプリケーション特有のユーザー属性を使用している場合には、セルフサービス機能を提供することもできます。 また、Auth0テナントでユーザーのプロビジョニングの解除手段を組織に提供する必要があるかもしれません。Auth0のセッションが有効期限切れである場合を除き、Auth0はアップストリームのIdPとは通信しません。ほとんどのシナリオではSSOセッションの有効期限が長すぎるため、ユーザーが削除された場合に組織管理者がユーザーを個別にブロックまたは削除できる方法が必要になります。ソーシャル接続
ソーシャル接続の場合、プロファイル管理のパターンはエンタープライズ接続と類似していますが、アップストリームのIdPは特定の組織ではなく、ソーシャルプロバイダーに関連付けられます。管理
状況によっては、顧客にアクセスを提供して、顧客の組織に関連付けられたユーザーアカウントを管理できるようにしたいことがあります。特にヘルプデスク関連のシナリオでは、担当者がユーザーに代わってプロファイル情報を更新したり、ユーザーアカウントのブロックを解除したりなどの場合にはアクセスが必要になります。 Auth0は、Auth0テナントの一般管理にそのままで便利に使えるを提供しています。ただし、顧客からはAuth0テナントのDashboardにアクセスできないようにしておきます。そうしないと、すべての組織のユーザー全員を管理できる能力を与えることになり、これは望ましいことではありません。
すでにヘルプデスクタイプの機能を顧客に提供している場合には、Auth0 Management APIを使ってAuth0にあるユーザーアカウントを管理することができます。たとえば、Management APIは組織メンバーの取得やユーザーが所属する組織の取得を行うのに使用できます。まだヘルプデスク機能を提供していない場合には、必要に応じてこの機能を構築する必要があります。