メインコンテンツへスキップ

前提条件

手順

アプリケーションを OIDC に接続するには、次の手順を実行する必要があります。
  1. OpenID Connect のIDプロバイダーでアプリを設定する
  2. Auth0 でエンタープライズ接続を作成する
  3. Auth0 アプリケーションでエンタープライズ接続を有効にする
  4. 接続をテストする

OpenID Connect IDプロバイダーでアプリを設定する

ユーザーが OIDC IDプロバイダーを使用してログインできるようにするには、アプリケーションを IdP に登録する必要があります。この手順は OIDC IDプロバイダーによって異なるため、詳しくはお使いの IdP のドキュメントに従ってください。 通常、設定のどこかで次のコールバックURLを入力する必要があります: https://{YOUR_AUTH0_DOMAIN}/login/callback

リダイレクト用の Auth0 ドメイン名を確認する

上記に Auth0 ドメイン名が表示されておらず、custom domains 機能を使用していない場合、ドメイン名はテナント名、リージョンのサブドメイン、auth0.com をドット (.) で連結したものになります。たとえば、テナント名が exampleco-enterprises で、テナントが US リージョンにある場合、Auth0 ドメイン名は exampleco-enterprises.us.auth0.com となり、Redirect URIhttps://exampleco-enterprises.us.auth0.com/login/callback になります。ただし、テナントが US リージョンにあり、2020 年 6 月より前に作成されている場合、Auth0 ドメイン名は exampleco-enterprises.auth0.com となり、Redirect URIhttps://exampleco-enterprises.auth0.com/login/callback になります。custom domains を使用している場合、Redirect URIhttps://<YOUR CUSTOM DOMAIN>/login/callback になります。
このプロセスの間に、OIDC IDプロバイダーは登録された API の一意の識別子を生成します。通常、 または Application ID と呼ばれます。この値は控えておいてください。後で必要になります。

Auth0 でエンタープライズ接続を作成する

Auth0 で OIDC エンタープライズ接続を設定する前に、OIDC プロバイダーでアプリを設定したときに生成された アプリケーション (クライアント) ID を用意しておいてください。

Auth0 Dashboard を使用してエンタープライズ接続を作成する

Auth0 Dashboard で設定できるようにするには、OpenID Connect (OIDC) IDプロバイダー (IdP) が OIDC Discovery をサポートしている必要があります。サポートしていない場合は、Management API を使用して接続を設定できます。
  1. Auth0 Dashboard > Authentication > Enterprise に移動し、Open ID Connect を見つけて Create を選択します。
    Dashboard - Connections - Enterprise
  2. 接続の詳細を入力し、Create: を選択します。
Enter OIDC Connection Details
FieldDescription
Purpose接続の用途を指定します。ユーザー認証、外部アカウントの Auth0 への接続、またはその両方に使用できます。詳細については、User authentication vs Connected Accounts を参照してください。
Connection name接続の論理識別子です。テナント内で一意である必要があります。設定後、この名前は変更できません。
OpenID Connect Discovery URLAuth0 が well-known OpenID Connect discovery endpoint を見つけるための URL です。通常は /.well-known/openid-configuration エンドポイントで利用できます。ベース URL または完全な URL を入力できます。その場所で見つかった場合は緑色のチェックマーク、見つからない場合は赤色のマーク、ファイルは見つかったものの設定ファイルに必要な情報が含まれていない場合はエラーメッセージが表示されます。詳細については、Configure Applications with OIDC Discovery を参照してください。
Client IDプロバイダーから提供された識別子です。登録したアプリケーションの一意の識別子となります。OIDC IDプロバイダー (IdP) に登録したアプリのクライアントIDとして保存した値を入力します。この手順はプロバイダーごとに異なります。
Communication ChannelFront Channel または Back Channel を設定します。Front Channel は、response_mode=form_postresponse_type=id_token を使用する OIDC プロトコルを使用します。Back Channel は response_type=code を使用します。
Authentication Methodアプリケーションが Auth0 に対して認証する方法を選択します。
Client Secret前の手順で Back Channel を選択した場合に使用できます。プロバイダーから提供されるシークレットで、この手順はプロバイダーごとに異なります。
コールバック URLAuth0 が認証後にユーザーをリダイレクトする URL です。この値が、OIDC IDプロバイダー (IdP) に登録したアプリに設定されていることを確認してください。
Sync user profile attributes at each login選択すると、ユーザーがログインするたびに、テナントは該当する namenicknamegiven_namefamily_name、または picture のルート属性を更新します。
Promote Connection to Domain Levelサードパーティアプリケーションがこの接続にアクセスできるようにします。
  1. Settings ビューで、必要に応じて追加の設定を調整します。
フィールド説明
接続名この接続の作成時に指定した名前です。変更はできません。
接続メタデータ前の画面で指定した Well-Known Endpoint URL に基づいて自動生成されますが、新しいメタデータファイルをアップロードして上書きできます。
認証Front Channel または Back Channel に設定します。Front Channel は response_mode=form_postresponse_type=id_token を使用する OIDC プロトコルです。Back Channel は response_type=code を使用します。更新するには、Manage Authentication を選択し、Credentials タブで変更します。
スコープIDプロバイダーへの接続時に要求する Auth0 スコープのカンマ区切りのリストです。これはユーザープロファイルに保存されるデータに影響します。少なくとも openid スコープを含める必要があります。なお、この接続は /userinfo エンドポイントを呼び出さず、ユーザーの claims が id_token に含まれていることを前提とします。
コールバック URL一部のプロバイダーでは、OIDC 接続を完了するためにこの URL が必要です。
ユーザーマッピング特定のユーザー属性を接続変数にマッピングするためのテンプレートを提供します。
接続プロファイル接続プロファイルの変更方法については、Configure PKCE and Claim Mapping for OIDC Connections を参照してください。
目的この接続の用途を指定します。ユーザー認証、外部アカウントの Auth0 への接続、またはその両方に使用できます。詳細については、User authentication vs Connected Accounts を参照してください
グローバルトークン失効提供されたエンドポイントを使用してリフレッシュトークンを失効させ、ユーザーの Auth0 セッションを終了します。Universal Logout および Okta Workforce Identity Cloud と併用できます。
接続をドメインレベルに昇格サードパーティアプリケーションがこの接続にアクセスできるようにします。

  1. Provisioning ビューで、Auth0 でユーザープロファイルをどのように作成および更新するかを設定します。
フィールド説明
ログインごとにユーザープロファイル属性を同期有効にすると、Auth0 はユーザーがログインするたびにユーザープロファイルデータを自動的に同期し、接続元で行われた変更が Auth0 に自動的に反映されるようにします。
同期頻度ユーザープロファイルを更新する頻度を指定します。
SCIM を使用してユーザープロファイルを同期有効にすると、Auth0 は SCIM を使用したユーザープロファイルデータの同期を許可します。詳細については、Configure Inbound SCIM を参照してください。
  1. Login Experience ビューで、この接続を使用したユーザーのログイン方法を設定します。
フィールド説明
ホームレルム検出ユーザーのメールアドレスのドメインを、指定した IDプロバイダーのドメインと比較します。詳細については、Configure Identifier First Authentication を参照してください
接続ボタンを表示このオプションでは、アプリケーションの接続ボタンをカスタマイズするための次の選択肢が表示されます。
オプションのフィールドは Universal Login でのみ使用できます。Classic Login を使用しているお客様には、Add ボタン、Button display name、Button logo URL は表示されません。
  1. Save Changes を選択します。

Management API を使用してエンタープライズ接続を作成する

以下の例では、Auth0 の を使用して接続を作成するさまざまな方法を紹介します。接続は、メタデータ URI を指定するか、OIDC の URL を明示的に設定して構成できます。詳細については、IDプロバイダー を参照してください。

ディスカバリーエンドポイントでフロントチャネルを利用する

ディスカバリーエンドポイントでバックチャネルを使用する

issuer 設定を指定したバックチャネルを使用する

issuer 設定を指定してフロントチャネルを使用する

PKCE とクレーム マッピングを設定する

このエンタープライズ接続では、Proof Key for Code Exchange (PKCE) に加えて、属性マッピングとトークン マッピングもサポートされています。詳細については、OIDC 接続の PKCE とクレーム マッピングを設定するを参照してください。

Auth0 アプリケーションでエンタープライズ接続を有効にする

新しいエンタープライズ接続を使用するには、まず Auth0 アプリケーションで接続を有効にする必要があります。

接続をテストする

これで、接続をテストする準備ができました。

発行者メタデータを手動で設定する

Issuer URL エンドポイントの Show Issuer Details をクリックすると、データを確認し、必要に応じて調整できます。

Auth0 とフェデレーションする

別の Auth0 テナントにフェデレーションする場合は、 Connect エンタープライズ接続が便利です。Issuer フィールドに Auth0 テナントの URL (例: https://<tenant>.us.auth0.com) を入力し、Client ID フィールドにフェデレーション先テナント内の任意のアプリケーションのクライアントIDを入力します。
新しいテナントでは、URL に us が含まれます。リージョナルドメインが追加される前に作成されたテナントも、引き続き使用できます。たとえば、https://{YOUR ACCOUNT}.auth0.com です。

グローバルトークン失効を設定する

この接続タイプはグローバルトークン失効エンドポイントをサポートしており、準拠したIDプロバイダーが Auth0 のユーザーセッションを失効させ、を失効させ、セキュアなバックチャネルを使用するアプリケーションのバックチャネルログアウトを開始できるようにします。 この機能は、Okta Workforce Identity の Universal Logout と併用できます。 詳細および設定手順については、Universal Logout を参照してください。