メインコンテンツへスキップ
セルフサービス エンタープライズ構成では、B2B 顧客が自社のエンタープライズ顧客に SSO の設定を委任するために必要なツールを提供します。このタスクを委任することで、オンボーディング プロセスを効率化し、顧客がサインオン エクスペリエンスをより主体的に管理できるようになります。また、顧客基盤全体にわたる SSO 管理にかかる時間とコストを削減することもできます。 セルフサービス エンタープライズ構成では、Auth0 テナントで必要な構成は最小限で済み、顧客には有効化プロセスを案内するセットアップ アシスタントが提供されます。顧客がセットアップを完了すると、SSO 統合は エンタープライズ接続 としてテナントに自動的に追加されます。
次の Dashboard ロールを持つユーザーは、この機能を使用できます。
  • Admin および Editor - Connections ユーザーは、セルフサービス プロファイルを作成および管理できます。
  • Viewer - Config ユーザーは、セルフサービス プロファイルの表示のみ可能です。

セルフサービス エンタープライズ構成でサポートされるプロバイダー

現在、シングルサインオン (SSO) では次のをサポートしています。
  • Okta Workforce Identity
  • Auth0
  • Entra ID
  • Google Workspace
  • Keycloak
  • Microsoft Active Directory Federation Services (ADFS)
  • PingFederate
  • Generic OIDC
  • Generic
現在、プロビジョニングでは次のIDプロバイダーをサポートしています。
  • Okta Workforce Identity
  • Entra ID
  • Generic OIDC
  • Generic SAML

仕組み

セルフサービス エンタープライズ構成 では、次のコンポーネントを使用して、設定を顧客に委任します。
  • セルフサービスプロファイル: SSO に使用できる IDプロバイダーや、メールアドレス など収集が必要なユーザー属性など、顧客実装の主要な要素を定義します。顧客やセグメントごとに、1 つのテナントで最大 20 個のプロファイルを作成できます。
  • セルフサービス アクセス チケット: 顧客にセルフサービスアシスタントへの管理者アクセスを付与し、作成されるエンタープライズ接続の具体的な詳細を設定します。顧客の管理者は、新しい接続を作成することも、既存の接続を変更することもできます。
  • セルフサービスセットアップアシスタント: 顧客の管理者を SSO の設定プロセスに沿って案内します。このエクスペリエンスの詳細については、「Self-service assistant experience」を参照してください。

セルフサービス エンタープライズ構成 のワークフロー

以下の手順は、セルフサービス エンタープライズ構成 を使用する際の一般的なワークフローを示しています。これらのタスクは、 または のいずれかで実行できます。
  1. Auth0 のお客様であるあなたは、自身のテナントにセルフサービス プロファイルを作成します。
  2. 次に、そのセルフサービス プロファイルに関連付けられたセルフサービス アクセス チケットを作成します。チケットの生成時に、顧客管理者がセルフサービス アシスタントを使用して新しい接続を作成するか、既存の接続を変更するかを選択できます。
  3. ステップ 2 で作成したアセットからチケット URL を取得し、そのリンクを顧客管理者に送信します。
  4. 顧客管理者はチケット URL からセルフサービス アシスタントを起動し、表示される手順に従って接続を設定し、必要に応じてドメイン検証を完了します。チケットが Discovery を有効にした単一の組織向けである場合、アシスタントはその組織ですでに検証済みのドメインを自動的に検出します。これにより、管理者は再検証を行うことなく、既存のドメインを新しい接続にすぐ関連付けることができます。
  5. 顧客のアプリケーションを指す新規または更新済みのエンタープライズ接続が、Auth0 テナントで利用可能になります。
Self-Service SSO 機能のワークフロー図。

セルフサービスアシスタントの操作フロー

セルフサービスアシスタントは、顧客管理者を次の設定手順へ案内する複数ステップのフローです。
  • SSO の設定
    • ドメインの検証
    • プロビジョニングのセットアップ
このフローには、インタラクティブな要素に加え、選択した IdP で必要な変更を行うための手順も含まれます。 SSO の設定要件は IdP ごとに異なりますが、セルフサービスアシスタントの一般的なワークフローは次のとおりです。
  1. IDプロバイダーを選択: 顧客管理者は、SSO 用に設定する IdP を選択します。選択肢の一覧は、関連付けられているセルフサービスプロファイルによって決まります。
  2. アプリケーションを作成: 顧客管理者は、記載された手順に従って、選択した IdP システム内にアプリケーションを作成します。
  3. 接続を設定: 顧客管理者は、簡単なフォームに入力して Auth0 の接続を作成または変更します。このフォームでは、顧客のドメイン、クライアントID、クライアントシークレットなどの情報を収集します。
  4. クレームをマッピング: 顧客管理者は、SSO 接続を通じて取得する必要がある必須および任意のユーザー属性を確認します。次に、それらのユーザー属性、つまりクレームを IdP システム内でマッピングします。
  5. アクセスを割り当て: 顧客管理者は、IdP システム向けに記載された手順に従って、ユーザーまたはユーザーグループにアプリケーションへのアクセス権を付与します。
  6. SSO をテスト: 顧客管理者は、用意されたボタンを使用して新しいタブで SSO 接続をテストします。ドメイン検証が有効になっていない場合は、この手順の後にセットアッププロセスを完了して接続を有効にできます。
  7. (任意) プロビジョニング: 顧客管理者は、提供された手順に従って接続のユーザープロビジョニングを設定します。
    • IdP でアプリケーションを作成します。
    • アシスタントで SCIM ベアラートークンを生成し、その SCIM ベアラートークンと SCIM エンドポイント URL を IdP の設定にコピーします。
    • User Attribute Profile (UAP) で定義されている必須および任意の属性を確認します。これらの属性を、IdP システム内の対応する SCIM フィールドにマッピングします。
  8. (任意) ドメインの検証と関連付け: 顧客管理者は、認証とルーティングに使用するドメインを管理します。ドメイン検証では、顧客が自社ドメインの所有権を証明する必要があります。ドメインの関連付けにより、既存の信頼済み ID を再利用できます。
チケットが有効な 1 つの 組織に対して設定されている場合、検証済みドメインは Organization Domain Discovery 用に自動的に同期できます。IT 管理者がドメインを検証または関連付けると、エンドユーザーはメールアドレス (Home Realm Discovery) を使用してログインできるようになり、特定の Organization ID や Magic Link は不要になります。 アクセスチケットをどのように設定するか (Auth0 の顧客であるあなた) によって、顧客管理者向けの操作フローは異なります。詳しくは次の表を参照してください。
設定説明
Verified Domain Association顧客管理者は、チケットのスコープが 1 つの組織に設定されており、その組織が次の条件を満たしている場合、DNS TXT レコードを検証せずに既存のドメインを選択して新しい接続に関連付けることができます。
  • Allow Use of Domains for Organization Discovery オプションが有効になっていること。
  • Domain VerificationOptional または Required に設定されていること。

アシスタントは、その特定の組織ですでに検証済みのドメインを自動的に検出します。
Domain Verification set to Required顧客管理者は、接続を有効にする前に、DNS を使用して新しいドメインの検証を正常に完了するか、既存の検証済みドメインを関連付ける必要があります。
Domain Verification set to Optional顧客管理者は、新しいドメインを入力して検証するか、既存のドメインを関連付けるか、この手順をスキップするかを選択できます。いずれの場合でも、管理者は検証状態に関係なく接続を有効にできます。
Domain Verification set to Off顧客管理者は何も行いません。この手順は表示されず、フローは Test SSO の後で終了します。
Allow Use of Domains for Organization Discovery is enabledこのオプションは、1 つの有効な組織に対してチケットを生成する場合に利用できます。選択すると、次のようになります。
  • 新しいドメイン: 新たに検証されたドメインは、組織のドメイン一覧とエンタープライズ接続の matching_domains の両方に自動的に追加されます。
  • 既存のドメイン: 事前に検証済みのドメイン (最大 5 件) または関連付け済みドメインは、完了時に接続と組織レコードの両方に同期され、ユーザーはすぐにメールアドレスベースのログインを利用できるようになります。
詳細については、Manage Self-Service Enterprise Configuration を参照してください。

セルフサービスアシスタントのフロー例

以下の画像は、セルフサービスアシスタントの利用例を示しています。この例では、顧客管理者が Okta Workforce を IdP として使用して SSO を設定します。
Enterprise-Connection>Self-Service-SSO
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの最初のステップ。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの2番目のステップ。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの3番目のステップ。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの4番目のステップ。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの5番目のステップ。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの6番目のステップ。
ユーザーをプロビジョニングするためのアプリケーションを作成します。
アプリケーションにユーザーをプロビジョニングするために SCIM を設定します。
属性が IdP から SP に確実に渡されるよう、ユーザー属性をマッピングします。
顧客管理者が SSO を設定する際に使用するセルフサービスアシスタントの最後のステップ。