Azure AD の接続タイプを選択する

Auth0 インスタンスを Microsoft Azure Active Directory に接続する方法は 3 つあります。ご利用状況に最適な方法を判断するために、各オプションを確認してください。 Auth0 では、まずネイティブの Microsoft Azure AD 接続から始めることを推奨しています。さらにカスタマイズが必要な場合は、接続の設定を確認してください。また、組織で認可コードフローに追加の制限がある場合は、Enterprise OIDC の設定を確認してください。以下の表は、これらの接続タイプの主な違いを示しています。組織に最適な接続タイプを判断するために、各機能を確認してください。

接続タイプ	「ネイティブ」Azure AD	Enterprise OIDC	SAML
プロトコル	OAuth 認可コードフロー	OAuth インプリシットフローまたは OAuth 認可コードフロー	SAML
Azure AD からオプションクレームを受け取れますか?	いいえ	はい	はい
フェデレーテッドログアウトのサポート (「シングルログアウト」または SLO)	はい	いいえ	はい
AD グループの受信	はい、フレンドリ名	はい、オブジェクト ID	はい、オブジェクト ID
拡張プロファイルの受信	はい	いいえ	いいえ

Microsoft Azure AD

最初の接続タイプは、Auth0 Dashboard > Authentication > Enterprise にある Microsoft Azure AD 接続です。この接続タイプでは、OAuth 認可コードフローを使用します。Microsoft Azure AD 接続は id_token のクレームを受け取り、Microsoft Graph API に対して直接クエリを実行します。設定されている場合、このクエリではグループや追加のプロファイル情報を検索します。Microsoft Azure AD は、id_token に含まれるカスタムクレームをすべて無視します。

接続の機能と考慮事項

この接続タイプはネイティブワークフローであるため、拡張 AD 機能に明示的に対応しています。Azure AD 接続では、Microsoft Graph API のプロフィール属性が Auth0 のユーザープロフィールに直接マッピングされます。以下の表は、接続タイプごとの Azure AD Graph 属性を比較したものです。

Graph 属性	Auth0 プロフィール属性	データ型	OIDC または SAML の対応するオプションクレーム
`businessPhones`	`phone`	array	N/A
`givenName`	`given_name`	string	`given_name`
`jobTitle`	`job_title`	string	N/A
`mobilePhone`	`mobile`	string	N/A
`preferredLanguage`	`preferred_language`	string	`xms_pl`
`surname`	`family_name`	string	`family_name`
`userPrincipalName`	`upn`	string	`upn`

次の拡張プロフィール属性を取得するには、Microsoft Graph API をクエリする権限を有効にする必要があります。

businessPhones
jobTitle
mobilePhone

グループの設定

Microsoft Graph API を照会する権限を有効にすると、Auth0 はユーザーのグループを自動的に取得し、それらを Auth0 プロファイルの groups 属性にマッピングします。Auth0 はこれらのグループの「フレンドリ名」をマッピングするため、これらのグループは Microsoft Graph API から直接マッピングされ、カスタムクレームを設定する必要はありません。

SAML

SAML 接続タイプでは SAML プロトコルを使用し、属性マッピングと標準的な SAML 機能をすべてサポートします。

接続の機能と考慮事項

SAML 接続タイプは、オプションクレームとフェデレーションログアウトをサポートしているため、利用可能な接続タイプの中で最も柔軟です。これら 2 つの機能の両方が必要な場合、両方を同時にサポートしている接続タイプは SAML のみです。

グループ設定

Auth0 が SAML 接続タイプでグループ情報を受け取るには、SAML レスポンスにオプション属性が含まれるように Azure AD を構成する必要があります。その後、Auth0 はグループをユーザーの Auth0 プロファイル内の group_ids 属性にマッピングします。

SAML および OIDC 接続タイプでは、グループにフレンドリ名ではなくオブジェクト識別子が使用されます。オンプレミスの AD からグループをインポートしている場合は、SAML レスポンスにフレンドリ名を含められることがあります。グループクレームの詳細については、Microsoft のドキュメントを参照してください。

Enterprise OIDC

Enterprise Open ID Connect タイプでは、OAuth Implicit または Authorization Code フローを使用できます。この接続では、id_token 内のカスタムクレームが Auth0 のユーザープロファイルにマッピングされます。認証フローの詳細については、Authentication and Authorization Flows documentationを参照してください。

接続の機能と考慮事項

規制やプライバシー保護の要件により、ログインフローでを指定できない場合は、OIDC 接続が提供する Implicit Flow が適した方法となることがあります。カスタムクレームが必要でも、追加の SAML 機能は設定したくない場合は、OIDC 接続を使用することで複雑さを軽減できます。

グループ設定

Auth0 が OIDC 接続タイプでグループ情報を受け取れるようにするには、リクエストの id_token に groups を追加するオプションクレームを Azure AD で設定する必要があります。Auth0 はその後、これらのグループをユーザーの Auth0 プロファイルの group_ids 属性にマッピングします。

SAML および OIDC の接続タイプでは、グループにはフレンドリ名ではなくオブジェクト識別子が使用されます。オンプレミス AD からグループをインポートしている場合は、SAML レスポンスにフレンドリ名を含められることがあります。グループクレームの詳細については、Microsoft ドキュメントを参照してください。

詳しく見る

アプリを Microsoft Azure Active Directory に接続する

​Microsoft Azure AD

​接続の機能と考慮事項

​グループの設定

​SAML

​接続の機能と考慮事項

​グループ設定

​Enterprise OIDC

​接続の機能と考慮事項

​グループ設定

​詳しく見る

Microsoft Azure AD

接続の機能と考慮事項

グループの設定

SAML

接続の機能と考慮事項

グループ設定

Enterprise OIDC

接続の機能と考慮事項

グループ設定

詳しく見る