メインコンテンツへスキップ
Auth0 は、ネットワーク内にインストールした Active Directory/LDAP Connector を介して、Lightweight Directory Access Protocol (LDAP) を使用して Active Directory (AD) と統合します。
AD/LDAP Connector は、自社で AD/LDAP サーバーを管理している環境向けに設計されています。顧客のサーバーにこのコネクターをインストールしてはなりません顧客のユーザーがエンタープライズ認証情報を使用してアプリケーションにアクセスできるようにする B2B シナリオでは、利用可能なエンタープライズ接続のいずれかを使用して、顧客のフェデレーションサービス (たとえば、顧客自身の Auth0 サービス、ADFS、または任意の SAML IDプロバイダー) に接続してください。顧客のサーバーに AD/LDAP Connector をインストールし、それを Auth0 ドメインに直接接続すると、顧客ユーザーのパスワードを直接扱う必要があります。Auth0 はこのようなデプロイを強く非推奨としており、サポートもしていません。
AD/LDAP Connector (1) は、Active Directory/LDAP (2) と Auth0 サービス (3) をつなぐブリッジです。AD/LDAP は通常、社内ネットワーク内に制限されている一方で、Auth0 はまったく異なる環境で動作するクラウドサービスであるため、このブリッジが必要です。
AD/LDAP Connector - AD/LDAP を Auth0 と統合 - 図
ユーザーが Auth0 で認証すると、AD/LDAP Connector にリダイレクトされます。このコネクターは AD サービスに対してユーザーを検証し、その検証結果を Auth0 に返します。AD/LDAP Connector は、LDAP、Kerberos、クライアント証明書を使用した認証をサポートしています。 詳しくは、Kerberos を使用した AD/LDAP Connector 認証 の設定 および クライアント証明書を使用した AD/LDAP Connector Authenticator の設定 を参照してください。

キャッシュ

AD/LDAP Connector は、最適な稼働率とパフォーマンスを確保するために、ユーザー プロファイルと認証情報 (Auth0 はユーザーのパスワードのハッシュを保存します) をキャッシュし、ユーザーがログインするたびにデータを更新します。キャッシュが使用されるのは、コネクターが停止しているか到達できない場合のみです。Dashboard で認証情報のキャッシュを無効にしない限り、キャッシュされたデータは常に保存されます。キャッシュ内の値では大文字と小文字が区別されるため、ログインは、ユーザーがキャッシュされたものと完全に一致する username を入力した場合にのみ成功します。

高可用性と負荷分散

高可用性と負荷分散を実現するには、コネクターのインスタンスを複数インストールできます。すべての接続はコネクターから Auth0 Server へのアウトバウンド接続であるため、通常はファイアウォールを変更する必要はありません。 高可用性クラスターの各インスタンスは常時稼働し、Auth0 に接続された状態を維持します。Auth0 は、ログイン トランザクションやその他のリクエストを、利用可能な任意のコネクターに送信します。ネットワークまたはハードウェアの問題でいずれかのインスタンスに障害が発生した場合、Auth0 はログイン トランザクションを別のコネクターに転送します。高可用性の deployment にしておくことで、コネクターをダウンタイムなしで更新することもできます。

OpenLDAP ディレクトリ

Connector はデフォルトで Active Directory 向けに高度に最適化されています。その他の LDAP ディレクトリ (OpenLDAP など) で使用するには、config.json ファイルで以下の設定をカスタマイズする必要があります。
config.json
"LDAP_USER_BY_NAME": "(cn={0})",
"LDAP_SEARCH_QUERY": "(&(objectClass=person)(cn={0}))",
"LDAP_SEARCH_ALL_QUERY": "(objectClass=person)",
場合によっては、cn より uid を属性として使用するほうが適していることがあります。

OpenDJ の例

OpenDJ Control Panel を使用すると、各ユーザーの属性一覧を取得できます。この一覧を参照すると、Auth0 で認証する際にどの属性を username として使用するか判断できます。
AD/LDAP Connector OpenDJ Example diagram
この例では、John の cnjohndoe で、mail フィールドには johndoe@contoso.com が設定されています。組織でユーザーが username (cn) を使用して認証する場合は、LDAP_USER_BY_NAME 設定を (cn={0}) に設定できます。一方、ユーザーがメールアドレスを使用して認証する場合は、LDAP_USER_BY_NAME(mail={0}) に設定します。

詳細情報