Self-Service Enterprise Configuration は、B2B 顧客が自社のエンタープライズ顧客に SSO 設定を委任するために必要な機能を提供します。また、顧客を有効化プロセスに沿って案内するセルフサービス アシスタントを提供するために必要な、Auth0 テナントでの設定は最小限で済みます。
顧客が設定を完了すると、SSO 統合は自動的に エンタープライズ接続 としてテナントに追加されます。
次の Dashboard ロールを持つユーザーは、この機能を利用できます。
Admin および Editor - Connections ユーザーは、セルフサービス プロファイルを作成および管理できます。Viewer - Config ユーザーは、セルフサービス プロファイルの表示のみ可能です。 Self-Service Enterprise Configuration を実現するには、Management API Auth0 Dashboard
セルフサービス プロファイル : 顧客の SSO 実装における主要な要素を定義します。これには、使用できる IDプロバイダー セルフサービス アクセス チケット : 顧客管理者に セルフサービス アシスタント
以下のセクションでは、セルフサービス プロファイルの設定手順と、顧客管理者に共有するセルフサービス アクセス チケットの生成手順について詳しく説明します。
Auth0 Dashboard または Management API を使用して、セルフサービスプロファイルを作成できます。
セルフサービスプロファイルは、顧客の実装における重要な要素を定義するために使用されます。主な内容は次のとおりです。
顧客管理者が SSO に使用できる IDプロバイダー。
メールアドレスや姓など、SSO を通じて取得する必要があるユーザー属性。
セルフサービスアシスタントの見た目や操作感をカスタマイズするブランディングオプション。
異なる顧客やセグメントに対応できるよう、必要に応じて最大 20 個のプロファイルを作成できます。
Auth0 Dashboard
Management API
Auth0 Dashboard でセルフサービスプロファイルを作成するには:
Authentication > Enterprise に移動し、Self-Service Enterprise Configuration セクションを開きます。次に、Create Profile を選択します。
所定の欄に、プロファイルの名前と任意の説明を入力します。次に、Create を選択します。任意 ユーザー属性プロファイルを関連付けます。
新しいユーザー属性プロファイルを作成して関連付けるか、既存のユーザー属性プロファイルを有効にすると、User Profile タブから属性を追加することはできません。
Settings タブで、以下のセクションを設定します。次に、Save を選択します。
IDプロバイダー (IdP) : 1 つ以上の IDプロバイダーを有効にします。セルフサービスアシスタントでは、顧客管理者は有効になっているプロバイダーの一覧から任意のオプションを選択できます。ブランディング : セルフサービスアシスタントのロゴとメインカラーを設定します。Custom Introduction : 必要に応じて、デフォルトのメッセージを変更または置き換えます。この導入テキストは、セルフサービスアシスタントのランディングページで顧客管理者に表示されます。メッセージには、太字やハイパーリンクなどの基本的な書式設定を含めることができ、2000 文字までに制限されています。
User Profile タブで、顧客が SSO を通じて取得すべきメールアドレスや姓などのユーザー属性を最大 20 個追加します。各属性は required または optional に設定できます。
セルフサービスアシスタントのフローでは、必要な値が Auth0 に渡されるよう、顧客管理者はこれらの定義済みユーザー属性を自社の IDプロバイダーにマッピングするよう求められます。
セルフサービスユーザープロファイルを作成するには、まず Self-Service Profiles エンドポイントを呼び出してユーザープロファイルを作成します。次に、必要に応じて PUT 呼び出しで紹介テキストを変更します。 セルフサービスプロファイルを作成する:
Self-Service Profiles エンドポイントに POST リクエストを送信します。必要に応じて、リクエストボディで次のパラメーターを指定します。
パラメータ 必須? 説明 nameはい 文字列。最大長は100文字です。 descriptionいいえ 文字列。最大長は140文字です。 allowed_strategiesいいえ 配列。Okta Workforce Identity の場合は okta Entra ID の場合は waad Google Workspace の場合は google-apps Keycloak の場合は keycloak-samlp Microsoft Active Directory Federation Services の場合は adfs PingFederate の場合は pingfederate 汎用 OIDC の場合は oidc 汎用 SAML の場合は samlp brandingいいえ Object. branding.logo_urlいいえ 文字列。最大長は 1024 です。 branding.colorsいいえ オブジェクト。 branding.colors.primaryはい (branding.colors を定義する場合) 文字列。 user_attributesいいえ オブジェクト。最大長は20です。 user_attributes[].nameはい。user_attributes を定義する場合。 文字列。最大長は255です。 user_attributes[].descriptionはい。ユーザー属性を定義する場合。 文字列。最大長は255です。 user_attributes[].is_optionalはい。ユーザー属性を定義する場合。 ブール値。属性を必須に設定するには、true を使用します。 属性を任意にするには、false を使用します。 user_attribute_profile_idいいえ。 セルフサービスアカウントに関連付ける ユーザー属性プロファイル の ID。
リクエスト本文の例 { "name" : "Example Profile" , "description" : "An example profile for all customers" , "allowed_strategies" : [ "okta" , "adfs" , "google-apps" ], "user_attributes" : [ { "name" : "email" , "description" : "User's email" , "is_optional" : false , } ], "branding" : { "logo_url" : "https://example.com/logo.png" , "colors" : { "primary" : "#334455" } } }
説明テキストをカスタマイズする 顧客管理者がセルフサービスアシスタントにアクセスすると、最初にウェルカムメッセージが表示される紹介ページに移動します。デフォルトでは、次のメッセージが表示されます。 “SSOの設定まであと数ステップです。このセットアップでは、IDプロバイダーにいくつかの変更を加える必要があります。開始する前に、別のブラウザタブまたはウィンドウでIDプロバイダーを開いておいてください。” このテキストは、Custom Text for Self-Service Profiles エンドポイントに PUT リクエストを送信することで変更できます。 この呼び出しを実行すると、セルフサービスプロファイルに現在設定されているメッセージは上書き されます。顧客管理者に表示するテキスト全体を、呼び出しに必ず含めてください。
PUT /api/v2/self-service-profiles/{id}/custom-text/{language}/{page} を呼び出します。ここで、
id はセルフサービスプロファイルの ID ですlanguage は en に設定されますpage は get-started に設定されます
リクエストボディで、以下を指定します。
プロパティ 説明 introduction文字列。最大長は 2000 です。 セルフサービスアシスタントのランディングページに表示する導入文全体です。テキストには、太字やハイパーリンクなどの基本的な書式設定を含めることができます。 このパラメーターで指定したカスタムテキストは、以前のメッセージを完全に上書きします。最適な結果を得るには、顧客管理者に表示するメッセージ全体を指定してください。 空のボディ \{} を送信すると、カスタマイズしたメッセージはすべてデフォルトのテキストにリセットされます。
レスポンスとして、作成されたエンティティが返されます。
呼び出し例 PUT / api / v2 / self - service - profiles / ssp_1234567890 / custom - text / en / get - started { introduction : "Welcome! With <b>only a few steps</b>, you'll be able to setup your new connection. For assistance, contact <a href=" https : //www.examplesupportsite.com"> our support team </a>." }
レスポンスの例 { introduction : "Welcome! With <b>only a few steps</b>, you'll be able to setup your new connection. For assistance, contact <a href=" https : //www.examplesupportsite.com"> our support team </a>." }
少なくとも 1 つのセルフサービスプロファイルを作成すると、Auth0 Dashboard または Management API を使用してセルフサービスアクセスチケットを生成できます。
セルフサービスアクセスチケットには、主に次の 2 つの用途があります。
顧客管理者がセルフサービスアシスタントにアクセスできるようにし、そこで新しい SSO 接続を設定したり、既存の接続を変更したりできるようにすること。
顧客管理者が設定する新しい SSO 接続の主要な詳細や動作を事前に定義すること。たとえば、新しい接続でどのアプリケーションまたは組織を有効にするかなどです。
アクセスチケットを生成する際には、SAML
SAML IdP 主導の SSO は、IDプロバイダーが SSO を開始し、認証のためにユーザーをサービスプロバイダーにリダイレクトできる実装方式です。
Self-Service Enterprise Configuration でこのオプションを有効にする場合は、デフォルトのアプリケーションと応答プロトコルを指定する必要があります。さらに、接続の動作をより細かくカスタマイズするために、オプションのクエリ文字列を指定することもできます。
これらのオプションの詳細については、SAML IDプロバイダー主導のシングルサインオンを構成する を参照してください。
Self-Service Enterprise Configuration では、Enterprise 接続にメールドメインを関連付ける方法が 3 つあります。これらの方法はいずれも同じフィールド options.domain_aliases を設定し、ホームレルム検出 (HRD) と、条件によっては検出用の組織ドメインに使用されます。
事前検証済みドメイン (テナント管理) : テナント管理者が既知のドメインを接続に直接追加します。
確認対象のドメイン: テナント管理者が、セットアップ時に IT 管理者による確認が必要なドメインを指定します。これらのドメインは組織上で保留中として表示され、IT 管理者が確認を完了するまで接続に自動的に関連付けられません。
メールドメイン検証 (自己管理) : お客様の管理者が、セルフサービスアシスタントでのセットアップ中にドメインを確認します。
これらのメールドメイン関連付けの仕組みは、HRD と SSO ルーティングで使用されるメールドメインに適用されます。テナントレベルでのカスタムドメイン確認とは無関係です。
ドメインを検出用の組織ドメインと HRD の両方に反映させるには、チケットが次の条件を満たしている必要があります。
enabled_organization を 1 つだけ含める事前検証済みドメイン、または Email Verification Required が Required または Optional に設定されている
Allow the Use of Domains for Organization Discovery のチェックボックスを有効にする
事前検証済みドメイン
事前検証済みドメインを使用すると、テナント レベルでメールドメインを Enterprise 接続に関連付けることができます。追加されたドメインは信頼済みとして扱われ、options.domain_aliases に直接書き込まれます。
セルフサービスアクセスチケットの生成 時に、Auth0 Dashboard または Management API のいずれかでドメインを指定できます。
Auth0 Dashboard : Generate Ticket ページで、Pre-verified Domains フィールドにドメインの一覧を指定します。Management API : connection_config.options.domain_aliases にドメインの一覧を設定します。デフォルトでは、use_for_organization_discovery は true に設定されます。必要に応じて、Allow the Use of Domains for Organization Discovery を選択します。
テナント管理者が追加したドメインは 信頼済み として扱われるため、顧客管理者が検証を完了する必要は ありません 。ドメインを 信頼済み として扱うのではなく、IT 管理者による検証を必須にしたい場合は、domain_aliases_config.domain_verification を required または optional に設定し、セルフサービスアシスタントから検証を求めるようにします。Allow Use of Domains for Organization Discovery オプションを使用するには、チケットに enabled_organization がちょうど 1 つ設定されている必要があります。
検証対象のドメイン
検証対象のドメインを使用して、セットアップ時に IT 管理者が検証するドメインを指定します。事前検証済みドメインとは異なり、保留中のドメインは接続または組織に自動的には関連付けられません。反映するには、IT 管理者がセットアップアシスタントで検証を完了する必要があります。
セルフサービスアクセスチケットの生成 時に、Auth0 Dashboard または Management API のいずれかからドメインを指定できます。
Auth0 Dashboard : Generate Ticket ページで、Domains to be Verified フィールドにドメインのリストを指定します。Management API : connection_config.options.domain_aliases にドメインのリストを設定します。既定では、use_for_organization_discovery は true に設定されています。必要に応じて、Allow the Use of Domains for Organization Discovery を選択します。
以下の制限が適用されます。
チケットに組織が関連付けられている場合、既存および保留中の組織ドメインの合計数は 100 を超えることはできません。
チケットに組織が関連付けられていない場合、または複数の組織が関連付けられている場合、既存および保留中のドメインエイリアスの合計数は 1,000 を超えることはできません。
保留中のドメインを追加すると、いずれかの上限を超える場合は、チケットの作成はエラーで失敗します。
メールドメインの検証
事前検証済みドメインとは異なり、メールドメインの検証では、セルフサービス設定時に IT 管理者が指定したドメインをその管理者自身が所有していることを確認します。検証が完了すると、検証済みドメインは接続の同じ options.domain_aliases 配列に追加されます。
セルフサービスアクセスチケットの生成時に、IT 管理者に対する検証を有効にできます。
Auth0 Dashboard : Generate Ticket ページで、Domain Verification Requirement フィールドを使用します。必要に応じて、Allow the Use of Domains for Organization Discovery を選択します。Management API : domain_aliases_config.domain_verification と、必要に応じて use_for_organization_discovery を使用し、次のいずれかのオプションを指定します。
none (デフォルト): セルフサービスアシスタントは、顧客管理者にドメインの検証を求めません。required: セルフサービスアシスタントは、顧客管理者にドメインの検証を求めます。optional: セルフサービスアシスタントは、顧客管理者にドメインの検証を求めます。顧客管理者は、検証のためにドメインを入力するか、この手順をスキップするかを選択できます。
Allow Use of Domains for Organization Discovery オプションを使用するには、Enabled Organizations フィールドにちょうど 1 つ の組織が設定されており、かつ Domain Verification が Optional、Required、または Pre-Verified Domain(s) に設定されている必要があります。場合によっては、検証に最大 48 時間かかることがあります。また、顧客管理者が戻って接続を有効にできるようにするために、追加のアクセスチケットを発行する必要が生じる場合もあります。アクセスチケットの有効期限は、最初に開いてから 5 時間です。既存の接続のアクセスチケットを生成する を参照してください。
ドメインを削除する
IT 管理者は、セルフサービス アシスタントで検証済みのドメインを削除できます。チケットに設定されているドメイン検証要件に応じて、次のルールが適用されます。
任意: 検証済みのドメインはすべて削除できます。
必須: 検証済みのドメインを少なくとも 1 つ残しておく必要があります。IT 管理者が最後の検証済みドメインを削除しようとすると、警告が表示されます。
新しい接続用のアクセスチケットは、Auth0 Dashboard または Management API のいずれかで生成できます。
デフォルトでは、アクセスチケットの URL は生成後 5 日間有効です。チケット URL にアクセスすると、顧客管理者は 5 時間以内にセットアップを完了する必要があります。アクセスチケットの URL にアクセスできる回数は最大 10 回です。この上限に達した場合は、新しいアクセスチケットをリクエストする必要があります。 必要に応じて、有効期限前にアクセスチケットを取り消して、セルフサービスアシスタントへのアクセスを直ちに停止できます。
Auth0 Dashboard
Management API
新しい接続用のアクセスチケットを Auth0 Dashboard で生成するには、次の手順に従います。
Authentication > Enterprise に移動し、Self-Service Enterprise Configuration セクションを開きます。次に、アクセスチケットの作成に使用するセルフサービスプロファイルを選択します。
Generate Ticket を選択してチケットフォームを開きます。Select ticket type で、Create a new connection を選択します。
Ticket configuration で、顧客管理者が設定する接続の必須の名前を入力します。
Settings セクションで、新しい接続に必要に応じて追加オプションを設定します。
Domain : チケット URL で使用するカスタムドメインを選択します。利用できるのは、複数のカスタムドメインが存在する場合のみです。Display Name : Universal Login のプロンプトに表示される、接続のわかりやすい名前です。Enabled Clients : 接続に関連付けるクライアントIDのカンマ区切りリストです。Enabled Organizations : 接続に関連付ける組織IDのカンマ区切りリストです。Display connection a as button : ログイン画面で、接続を認証オプションとして表示します。Display connection as a button for organizations : 指定した組織のログイン画面で、接続を認証オプションとして表示します。Assign membership on login for organizations : 接続で認証したユーザーに、組織メンバーシップを自動的に付与します。Enable as a domain level connection : サードパーティ製アプリケーションでこの接続を使用できるようにします。Dynamic Client Registration が必要です。Accept SAML IdP-initiated SSO : SAML Identity Provider-initiated SSO を有効にします。
Domain-Based Discovery で、必要に応じて、ユーザーのメールアドレスのドメインと照合する、検証済みまたは今後検証予定の IdP ドメインのカンマ区切りリストを入力します。これらのドメインは options.domain_aliases に保存され、HRD を制御します。詳しくは、Home Realm Discovery を参照してください。
Domain Verification Requirement で、必要な検証レベルを選択します。
Off : 顧客管理者は、SSO の設定時にドメインの検証を求められません。Off は新しいアクセスチケットのデフォルト設定です。Optional : 顧客管理者は、SSO の設定時にドメインの検証を求められます。ただし、この手順をスキップして、検証を完了せずに接続を有効にすることもできます。Required : 顧客管理者は、SSO の設定時にドメインを検証する必要があります。検証が完了するまで、接続を有効にできません。
Provisioning で、必要に応じて Sync user profiles using provisioning を有効にします。有効にすると、追加の設定が利用可能になります。
Bearer Token Expiration : SCIM ベアラートークンの有効期限を設定します。デフォルトでは、ベアラートークンに有効期限はありません。Bearer Token Permissions (Scopes) : トークンで実行できるアクションを選択します。デフォルトでは、すべてのプロビジョニングスコープが有効になっています。
get:userspost:usersput:userspatch:usersdelete:users
Time to Live で、アクセスチケットの有効期間を秒単位で設定します。デフォルトでは、Time to Live は 432000 秒 (5 日間) に設定されています。
Time to Live は、顧客管理者がセルフサービスアシスタントを起動する前に 、アクセスチケット URL が有効である期間を決定します。アシスタントの起動後に、顧客管理者がどれだけ長くアクセスできるかを決めるものではありません。セルフサービスアシスタント自体の有効期限は 5 時間で、変更できません。
Metadata で、接続に関連付けるメタデータを最大 10 件追加します。
アクセスチケットの設定内容に誤りがないことを確認し、Create Ticket を選択します。
その後、アクセスチケット URL を含む Ticket Information ポップアップが表示されます。この URL はポップアップを閉じると再取得できないため、コピーして安全な場所に保存してください。 アクセスチケット URL は、メール、チャット、またはその他の連絡手段で顧客管理者と共有し、セルフサービスアシスタントへのアクセスを付与できます。その後、アシスタントが SSO 接続の設定を案内します。このエクスペリエンスの詳細については、Self-service assistant experience を参照してください。 Management APIを使用してアクセスチケットを生成するには:
Retrieve Self-Service Profiles エンドポイントを使用して、アクセスチケットに関連付けるセルフサービスプロファイルの ID を取得します。該当するセルフサービスプロファイルの ID を指定して、SSO Access Ticket エンドポイントを呼び出します。
POST /api/v2/self-service-profiles/{id}/sso-ticket
auth0-custom-domain ヘッダーを使用して、チケット URL に使用するカスタムドメインを設定します。これは、複数のカスタムドメイン機能が有効になっている場合にのみ利用できます。
リクエスト本文には、以下の表に示すパラメーターを指定します。 パラメーター 説明 connection_configオブジェクト。新しい SSO 接続 のアクセスチケットを生成する場合に必須です。顧客側の管理者は、SAML 証明書や OIDC の ID、シークレットなど、接続の主要な要素を変更できます。 connection_config.name必須 。文字列。connection_config.display_name任意 。文字列。connection_config.is_domain_connection任意 。ブール値。true に設定します。Dynamic Client Registration が必要です。connection_config.show_as_button任意 。ブール値。true の場合、この接続はアプリケーションのログイン画面に認証オプションとして表示されます。connection_config.metadata任意 。Object[].connection_config.options任意 。Object[].icon_urldomain_aliases[]idpinitiatedconnection_config.options.icon_url任意 。文字列。connection_config.show_as_button が有効な場合に使用するアイコン画像のURL。HTTPSを使用する必要があります。connection_config.options.domain_aliases任意 。String[].domain_aliases に入力したドメインは、自動的に検証済みとしてマークされます。顧客管理者が自分でドメインを検証できるようにするには、この属性は指定せず、代わりに domain_aliases_config (この表の後半で説明) を使用します。このオプションを使用すると、セルフサービスアシスタントを通じて、顧客管理者に自社ドメインの検証を促すことができます。connection_config.options.idpinitiated任意 。オブジェクト。SAML IdP 起点 SSO を許可し、次の属性を含みます:enabledclient_idclient_protocolclient_authorizequerySSO Access Ticket エンドポイントを参照してください。domain_aliases_config任意 。オブジェクト。 domain_verification プロパティと pending_domains プロパティが含まれます。domain_aliases_config.domain_verification任意 。文字列。none: ドメイン検証を無効にします。リクエストで domain_aliases_config オブジェクトを省略して無効にすることもできます。optional: セットアップ中に顧客管理者がドメイン検証をスキップできるようにします。required: セットアップ中に顧客管理者が自分のドメインを検証することを必須にします。domain_aliases_config.pending_domains任意 。String[].domain_aliases_config.domain_verification を optional または required に設定する必要があります。1 つの組織がチケットに関連付けられている場合、既存および保留中の組織ドメインの合計数は 100 を超えてはなりません。 チケットに組織が関連付けられていない場合、または複数の組織が関連付けられている場合、既存および保留中のドメインエイリアスの合計数は 1,000 を超えてはなりません。 enabled_organizations任意 。Object[].enabled_organizations[].organization_idenabled_organizations を使用する場合は必須 です。Auth0 Dashboard の Organizations セクション、Get Organizations エンドポイント、または Get Organization by Name エンドポイントで取得できます。enabled_organizations[].assign_membership_on_login任意 。ブール値。true の場合、新しい接続でログインしたユーザーは、指定された組織のメンバーとして自動的に追加されます。enabled_organizations[].show_as_button任意 。ブール値。true の場合、新しい接続がアプリケーションの組織ログイン画面に認証オプションとして表示されます。provisioning_config任意。 オブジェクト。scopes (get:users、post:users、put:users、patch:users、delete:users) がすべて含まれていない場合、SCIM は有効になりません。Google Workspace Directory Sync を設定するには、google_workspacettl_sec任意 。Number.0 に設定した場合、値のデフォルトは 432000 (最大の 5 日間) になります。use_for_organization_discovery任意 。ブール値。
リクエストボディの例 { "connection_config" :{ "name" : "string" , "display_name" : "string" , "is_domain_connection" : true , "show_as_button" : true , "metadata" :{ "key1" : "value1" , "key2" : "value2" }, "options" :{ "icon_url" : "string" , "domain_aliases" :[ "acme.corp" , "okta.com" ], "idpinitiated" : { "enabled" : true , "client_id" : "string" , "client_protocol" : "string" , "client_authorizequery" : "string" } } }, "enabled_organizations" :[ { "organization_id" : "string" , "assign_membership_on_login" : true , "show_as_button" : true } ], "ttl_sec" : 0 , "domain_aliases_config" : { "domain_verification" : "string" "pending_domains" : [ "acme2.com" ] } }
レスポンスには、セルフサービスアクセスチケットへのURLが含まれています: { "ticket" : "https://{domain}/self-service/connections-flow?ticket={id}" }
チケットURLを受け取ったら、そのリンクをお客様の管理者と共有して、セルフサービスアシスタントへのアクセスを付与してください。アシスタントがSSO接続の設定手順を案内します。このエクスペリエンスの詳細については、セルフサービスアシスタントのエクスペリエンス を参照してください。 アクセスチケットの生成を独自のセルフサービスポータルに組み込んだり、チケットのURLをメール、チャット、その他のコミュニケーションチャネルを通じて顧客の管理者に直接送信したりすることができます。 既存の接続用のアクセスチケットは、Auth0 Dashboard または Management API から生成できます。
デフォルトでは、アクセスチケット URL は生成後 5 日間有効です。チケット URL にアクセスすると、顧客管理者は 5 時間以内にセットアップを完了する必要があります。アクセスチケット URL にアクセスできる回数は最大 10 回です。この上限に達した場合は、新しいアクセスチケットをリクエストする必要があります。 必要に応じて、有効期限前にアクセスチケットを取り消して、セルフサービスアシスタントへのアクセスを直ちに停止できます。
顧客管理者がセルフサービスアシスタントで ドメイン検証 を開始した場合、セットアッププロセスを完了するために追加のアクセスチケットが必要になることがあります。 ドメイン検証は、セルフサービスアシスタントの最後の手順で行われます。この時点では、接続は作成されていますが、有効化はまだ完了していません。ドメイン検証が必要な場合、顧客管理者は検証が完了するまで接続を有効化できません。 通常、検証は速やかに完了しますが、場合によっては 24~48 時間かかることがあります。この場合、チケットは最初のアクセスから 5 時間後に期限切れとなるため、顧客管理者は元のアクセスチケットを使って接続を有効化できません。 このプロセスを完了するには、顧客管理者が最初のチケットで設定した接続を変更できるアクセスチケットを生成できます。このチケットを作成する際は、最初のアクセスチケットで設定した接続の Connection ID を必ず指定してください。
Auth0 Dashboard
Management API
Auth0 Dashboard でアクセスチケットを編集するには、次の手順を実行します。
Authentication > Enterprise に移動し、Self-Service Enterprise Configuration セクションを開きます。次に、アクセスチケットの作成に使用するセルフサービスプロファイルを選択します。
Generate Ticket を選択してチケットフォームを開きます。Select ticket type で、Edit an existing connection を選択します。
Ticket configuration で、顧客管理者が変更する既存の接続の ID を入力します。
Next を選択します。
Enabled features で、IT 管理者がアクセスできるフローを選択します。すべてのオプションはデフォルトで有効になっています。
Edit SSO connection : IT 管理者が SSO 接続を変更できるようにします。このオプションを無効にすると、接続の編集は許可せず、プロビジョニングまたはドメイン設定にのみ IT 管理者がアクセスできるようになります。Provisioning : IT 管理者がプロビジョニングを設定できるようにします。Domain configuration : IT 管理者がドメインを確認または管理できるようにします。
Domain Verification で、希望する検証レベルを選択します。
Off : 顧客管理者は、SSO の設定時にドメインの検証を求められません。このオプションは、新しいアクセスチケットではデフォルトで選択されています。Optional : 顧客管理者は、SSO の設定時にドメインの検証を求められます。ただし、この手順はスキップでき、検証を完了しなくても接続を有効にできます。Required : 顧客管理者は、SSO の設定時にドメインを検証する必要があります。検証が完了するまで、接続を有効にできません。
Provisioning で、必要に応じて Sync user profiles using provisioning を有効にします。有効にすると、追加の設定を利用できます。
Bearer Token Expiration : SCIM ベアラートークンの有効期限を設定します。デフォルトでは、ベアラートークンに有効期限はありません。Bearer Token Permissions (Scopes) : トークンで実行できる操作を選択します。デフォルトでは、すべてのプロビジョニング スコープが有効になっています。
get:userspost:usersput:userspatch:usersdelete:users
Time to Live で、アクセスチケットの有効期間を秒単位で設定します。デフォルトでは、Time to Live は 432000 秒 (5 日間) に設定されています。A. Time to Live は、顧客管理者がセルフサービスアシスタントを起動する前に 、アクセスチケット URL が有効である期間を決定します。アシスタントの起動後に顧客管理者がアクセスできる期間を決定するものではありません。セルフサービスアシスタント自体の有効期限は 5 時間で、設定は変更できません。
アクセスチケットの設定内容が正しいことを確認します。次に、Create Ticket を選択します。
その後、アクセスチケット URL を含む Ticket Information ポップアップが表示されます。この URL は、ポップアップを閉じると再取得できないため、安全な場所にコピーして保存してください。 顧客管理者にセルフサービスアシスタントへのアクセスを付与するには、メール、チャット、またはその他の連絡手段でアクセスチケット URL を共有できます。すると、アシスタントが SSO 接続の設定を案内します。この操作画面の詳細については、Self-service assistant experience を参照してください。 Management API を使用してアクセスチケットを生成するには、以下の手順に従ってください。
Retrieve Self-Service Profiles エンドポイントを使用して、アクセスチケットに関連付ける対象のセルフサービスプロファイルの ID を取得します。
適切なセルフサービスプロファイルのIDを使用して、SSO Access Ticket エンドポイントを呼び出します。
POST /api/v2/self-service-profiles/{id}/sso-ticketリクエスト本文で、以下のパラメーターを指定します。
パラメーター 説明 connection_id必須 。文字列。Auth0 Dashboard の Authentication セクション、または Get All Connections エンドポイントから取得できます。**domain_aliases_config.pending_domains任意 。String[].domain_aliases_config.domain_verification を optional または required に設定する必要があります。1 つの組織がチケットに関連付けられている場合、既存および保留中の組織ドメインの合計数は 100 を超えてはなりません。 チケットに組織が関連付けられていない場合、または複数の組織が関連付けられている場合、既存および保留中のドメインエイリアスの合計数は 1,000 を超えてはなりません。 enabled_features任意 。オブジェクト。false です。また、null または空オブジェクトは指定できません。enabled_features.provisioning が true の場合、リクエストボディに provisioning_config が必要です。enabled_features.sso任意 。ブール値。true の場合、IT 管理者は SSO 接続を編集できます。false に設定すると、接続の変更はできず、プロビジョニングまたはドメイン検証フローにのみアクセスできます。enabled_features.provisioning任意 。ブール値。true の場合、IT 管理者はプロビジョニングを構成できます。リクエストボディに provisioning_config を含める必要があります。enabled_features.domain_verification任意 。ブール値。true の場合、IT 管理者はドメインの検証または管理を行えます。provisioning_config任意。 オブジェクト。scopes (get:users,post:users,put:users, patch:users,delete:users) がすべて含まれていない場合、SCIM は有効になりません。Google Workspace Directory Sync を設定するには、google_workspacettl_sec任意 。数値。0 に設定した場合、値はデフォルトで 432000 (5 日間) になります。domain_aliases_config任意 。オブジェクト。domain_verification が含まれます。domain_verification のオプションは次のとおりです。none: ドメイン検証を無効にします。リクエストで domain_aliases_config オブジェクトを省略して、ドメイン検証を無効にすることもできます。optional: セットアップ時に、顧客管理者がドメイン検証をスキップできるようにします。required: セットアップ時に、顧客管理者によるドメイン検証を必須にします。use_for_organization_discovery任意 。ブール値。
リクエスト本文の例 { "connection_id" : "string" , "ttl_sec" : 0 , "domain_aliases_config" : { "domain_verification" : "string" "pending_domains" : [ "acme.com" ] } }
レスポンスには、セルフサービスアクセスチケットへのURLが含まれています: { "ticket" : "https://{domain}/self-service/connections-flow?ticket={id}" }
チケットURLを受け取ったら、そのリンクをカスタマー管理者と共有して、セルフサービスアシスタントへのアクセスを付与してください。アシスタントが、SSO接続の設定手順を案内します。このエクスペリエンスの詳細については、セルフサービスアシスタントのエクスペリエンス を参照してください。 アクセスチケットの生成を独自のセルフサービスポータルに組み込んだり、チケットのURLをメールアドレス、チャット、その他のコミュニケーションチャネルを通じて顧客の管理者に直接送信したりすることができます。 デフォルトでは、アクセスチケットのURLは5日間有効です。URLにアクセスすると、顧客管理者がセットアップを完了できる時間は5時間です。
必要に応じて、有効期限が切れる前にアクセスチケットを無効化できます。たとえば、アクセスチケットを誤ったオーディエンス
アクセスチケットを無効化すると、そのURLは直ちに無効になり、関連付けられたセッションはすべて終了します。URLを持っている顧客管理者は、セルフサービスアシスタントにアクセスできなくなります。その後、必要に応じて新しいアクセスチケットを生成して共有できます。
アクセスチケットを無効化するには:
Retrieve Self-Service Profiles エンドポイントを使用して、アクセスチケットに関連付けられたセルフサービスプロファイルのIDを取得します。無効化するアクセスチケットのIDを特定します。IDはアクセスチケットURLの末尾にあります。
適切なIDを使用して、Revoke SSO Access Ticket エンドポイントを呼び出します。
POST /api/v2/self-service-profiles/{id}/sso-ticket/{id}/revokeレスポンスとして 202 Accepted が返されます。
Self-Service Enterprise Configuration を管理するために、次の Management API エンドポイントを使用できます。
Self-Service Enterprise Configuration を使用する場合は、次のレート制限が適用されます。
説明 エンドポイント 制限 SSO ユーザープロファイルを管理する /api/v2/self-service-profilesご利用のサブスクリプション種別に対応する Management API のレート制限 を確認してください。 アクセスチケットを作成する /api/v2/self-service-profiles/{id}/sso-ticketご利用のサブスクリプション種別に対応する Management API のレート制限 を確認してください。 アクセスチケットを利用する /self-service/connection-flows?ticket={id}6 / 分 / IP Web アプリ (セットアップ アシスタントを含む) および Web アプリのエンドポイントを読み込む /self-service/*50 / 分 / IP
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム