認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム- ADFS を設定します。
- Auth0 がサービスプロバイダーとして機能する SAML 接続を作成します。
- ADFS で Relying Party Trust を編集します。
- 統合を有効にしてテストします。
ADFS を設定する
証明書利用者信頼の追加
フェデレーション メタデータを使用して作成
https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName}
EU: https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName}
AU: https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName}
JP: https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME
: https://{yourTenantName}/samlp/metadata?connection={connectionName}
証明書利用者信頼の作成が完了したら、次のセクションに進んでください。
手動で作成する
- ADFS インスタンスを起動し、Add 証明書利用者信頼 ウィザードを開始します。
- Welcome ページで Claims aware を選択し、Start をクリックします。
- Select Data Source ページで Enter data about the relying party manually を選択し、Next をクリックします。
- Specify Display Name ページで、証明書利用者のわかりやすい名前 (一般的な形式は
urn:auth0:{yourTenant}:{yourConnectionName}) と、Notes に簡単な説明を入力します。{yourConnectionName}は、後の手順で Auth0 で接続を作成するときにも使用する一意の名前に置き換えてください。この時点で接続名が決まっていなくても、後で接続名を編集できます。Next をクリックします。 - Configure Certificate ページで Next をクリックします。 (証明書の設定は後で行います。)
- Configure URL ページで、Enable support for the SAML 2.0 WebSSO protocol のチェックボックスをオンにします。すると、ウィザードで Relying party SAML 2.0 SSO service URL の入力を求められます。ここでは仮の URL を入力してください。この手順には後で戻ります。Next をクリックします。
- Configure Identifiers ページで、Relying party trust identifier に
urn:auth0:{yourTenant}:{yourConnectionName}を指定します (または、ウィザードの開始時に表示名として使用した値を指定します) 。Next をクリックします。 - Choose Access Control Policy ページで Permit everyone を選択し、Next をクリックします。
- Ready to Add Trust ページで入力内容を確認し、Next をクリックして保存します。正常に完了すると、Finish ページにその旨のメッセージが表示されます。
- Configure claims issuance policy for this application チェックボックスがオンになっていることを確認し、Close をクリックします。
クレーム発行ポリシーを編集する
- Add Rule… をクリックしてウィザードを起動します。
- Claim rule template で Send LDAP Attributes as Claims を選択し、Next をクリックします。
- Claim rule name に “LDAP Attributes” などの値を入力します (任意の名前でかまいません) 。
- Attribute Store として Active Directory を選択します。
- LDAP 属性を次の送信クレームの種類にマッピングします。
| LDAP Attribute | Outgoing Claim |
|---|---|
| E-Mail-Addresses | E-Mail Address |
| Display-Name | 名前 |
| User-Principal-Name | Name ID |
| Given-Name | Given Name |
| Surname | Surname |
Name ID は必ず含めてください。上記のクレームは一般的によく使用されるため、特に E-Mail Address を含め、すべて追加することを強くお勧めします。必要に応じて、追加のクレーム マッピングを設定することもできます。
6. Finish をクリックします。
7. Edit Claim Issuance Policy ウィンドウで Apply をクリックします。これでこのウィンドウを閉じることができます。
署名証明書のエクスポート
- 左側のナビゲーションペインで ADFS > Service > Certificates に移動します。Token-signing 証明書を選択し、右クリックして View Certificate を選択します。
- Details タブで Copy to File… をクリックします。Certificate Export Wizard が起動するので、Next をクリックします。
- 使用する形式として Base-64 encoded X.509 (.CER) を選択し、Next をクリックします。
- 証明書のエクスポート先を指定し、Next をクリックします。
- 証明書の設定が正しいことを確認して、Finish をクリックします。
Auth0 をサービスプロバイダーとする SAML 接続を作成する
-
Auth0 をサービスプロバイダーとして使用する SAML 接続の作成チュートリアルに従います。指示が表示されたら、ADFS からエクスポートした署名証明書をアップロードします。
サインイン URL とサインアウト URL は通常、
https://your.adfs.server/adfs/lsの形式です。 - Save をクリックします。ADFS で新しい 証明書利用者信頼 を作成する手順が記載されたページが表示され、Auth0 アカウント/接続に必要な正確な値が示されます。これらの値をメモしておいてください。以下はその例です。
| パラメーター | 値の例 |
|---|
証明書利用者信頼 を編集する
- ADFS コンソールで、左側のナビゲーションペインから ADFS > Relying Party Trusts に移動します。先ほど作成した 証明書利用者信頼 を選択し、Properties (右側のナビゲーションペインにあります) をクリックします。
- Identifiers タブを選択し、前の画面に表示された Entity ID の値を Relying Party Identifier に入力します。識別子を一覧に追加するには、必ず Add をクリックしてください。
- Endpoints タブを選択し、先ほど指定したプレースホルダー URL を選択します。Edit… をクリックします。
- Trusted URL に Post-back URL の値を入力します。
- OK をクリックします。最後に、Apply をクリックして Properties ウィンドウを閉じます。
署名リクエストを有効にする (任意)
- Auth0 Dashboard で、SAML-P IDプロバイダーの Settings ページに移動します。
- Sign Requests を有効にします。
- Sign Requests トグルのすぐ下に、証明書をダウンロードするリンクがあります。
- ADFS に戻り、Relying Party のプロパティ ダイアログの Signatures タブで、ダウンロードした証明書を読み込みます。
統合を有効にしてテストする
- 新しい接続のテストに使用するユーザーを、に作成します。
- 少なくとも 1 つのアプリケーションに対して接続を有効にします。
- Authentication > Enterprise > SAML に移動します。
- テストする接続を選択し、省略記号 (…) をクリックしてから Try をクリックします。Microsoft のサインイン画面が表示されます。サインインし、Next をクリックします。