メインコンテンツへスキップ
Auth0 は、SAML 2.0 を使用する として、 構成で利用できます。

Auth0 で標準サポートされる SSO 連携

  1. Dashboard > Applications > SSO Integrations に移動し、Create SSO Integration を選択します。
  2. SSO の IDプロバイダー連携を選択します。次の画面で、Continue をクリックします。
  3. 選択したプロバイダーに必要な情報を入力し、Save をクリックします。
Tutorial ビューには、選択した連携に応じた追加の設定手順が表示されます。 一部の SSO 連携では、SAML2 Web App addon を使用します。

SSO 連携を手動で設定する

の SAML2 Web App アドオンを使用して、SAML 統合を手動で設定できます。サービスプロバイダーの設定で確認できる情報を参照しながら、画面の指示に従って SAML アドオンを設定できます。

サービスプロバイダーからアプリケーションのコールバック URL を取得する

SAML 認証アサーションの送信先となる URL をサービスプロバイダーから取得します。これは Assertion Consumer Service URLPost-back URL、または Callback URL と呼ばれることがあります。

Auth0 で SAML SSO を設定する

  1. Dashboard > Applications > Applications に移動し、新しいアプリケーションを作成するか、設定するアプリケーションの名前をクリックします。
  2. Settings ページの一番下までスクロールし、Advanced Settings をクリックします。
  3. Certificates タブを選択し、Download Certificates をクリックして、PEM 形式を選択します。 証明書は {yourTenant}.pem という名前のファイルとしてダウンロードされます。このファイルは保存してください。サービスプロバイダーの設定時にアップロードする必要があります。
    Dashboard Applications Advanced Settings Certificates tab
  4. Endpoints タブを選択し、SAML Protocol URL. を探します。これをコピーして保存します。後でサービスプロバイダーに指定する必要があります。
  5. 上部までスクロールし、Addons タブを選択します。
  6. SAML2 Web App トグルを有効にします。
    1 つのクライアントで SAML アドオンと WS-Fed アドオンの両方を有効にすることはサポートされておらず、不整合な動作が発生する可能性があります。アドオンごとに別のクライアントを使用してください。
  7. Settings タブで、Auth0 がユーザーを認証した後に SAML アサーションの送信先となる、サービスプロバイダー (またはアプリケーション) の Application Callback URL を入力します。これは Assertion Consumer Service (ACS) URL です。
    Dashboard Applications Applications Addons Tab SAML2 Web App Settings Tab
    SAML2 アドオンに許可されたコールバック URL を追加すると、その URL はアプリケーションの許可されたコールバック URL リストの先頭にも追加されます。これにより、このリストの先頭 URL をデフォルトとして使用する機能に影響が出ます。また、後でアプリケーションの許可されたコールバック URL リストの先頭 URL を更新または変更すると、その変更は SAML2 アドオンにも反映されるため、機能しなくなる可能性があります。
  8. タブの一番下までスクロールし、Enable をクリックします。
  9. サービスプロバイダーが SAML リクエストで複数の ACS URL を送信する場合は、アプリケーションの Settings タブに移動し、Allowed Callback URLs を見つけて追加し、許可リストに登録する必要があります。

サービスプロバイダーで SAML SSO を設定する

  1. SAML アドオン の Usage タブに移動し、サービスプロバイダーアプリケーションの設定に必要な情報を確認します。
    Dashboard Applications Applications Addons Tab SAML2 Web App Usage Tab
  2. IDプロバイダー Metadata を見つけて Download をクリックし、メタデータファイルをダウンロードします。この情報をサービスプロバイダーに追加して、Auth0 に SAML ベースの認証リクエストを送信する方法を認識させます。ここで示す手順は一般的なものです。サービスプロバイダー側で該当する画面とフィールドを確認してください。
  • サービスプロバイダーがメタデータファイルのアップロードに対応している場合は、SAML2 Web アドオン の Usage タブで取得したメタデータ URL を指定します。
  • サービスプロバイダーがメタデータファイルのアップロードに対応していない場合は、SAML アドオン の Usage ビューにある情報を使用して手動で設定します。
    • ログイン URL には IDプロバイダー Login URL を使用します。これは、サービスプロバイダーが SAML 認証リクエストの送信先として使用する URL です。
    • カスタムドメインがある場合は、Auth0 ドメインではなくカスタムドメインベースの URL を使用します。次の形式の URL ではなく、 https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Username-Password-Authentication 次の形式の URL を使用します。 https://{yourCustomDomain}/samlp/CLIENTID?connection=Username-Password-Authentication.
    • Organizations を使用している場合は、クエリ文字列で organization パラメーターとして組織 ID を指定することで、ユーザーを特定の組織のログインプロンプトに誘導できます。必要に応じて、connection パラメーターを含めて接続を指定することもできます。例: https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Acme-Saml-Connection&organization=org_123456789
    • サービスプロバイダーにログアウト URL のフィールドもある場合は、IDプロバイダー Login URL を再度入力します。ログインとログアウトはどちらも同じ URL で処理されます。
  • SAML アドオン の Usage ビューから証明書をダウンロードし、サービスプロバイダーに渡します。この証明書は、Auth0 からサービスプロバイダーに送信される SAML 認証アサーションの署名を検証するために使用されます。サービスプロバイダーから Issuer を求められた場合は、これも SAML アドオン の Usage ビューから取得できます。

設定をテストする

上記の設定が完了したら、ログインをテストします。
  • アプリケーションが最初から正しく動作しない場合は、テストのたびにブラウザーの履歴と (できれば) Cookie を消去してください。そうしないと、ブラウザーが HTML ページの最新バージョンを読み込めなかったり、実行に影響する古い Cookie が残っていたりする可能性があります。
  • SSO のトラブルシューティングに役立てるため、やり取りの HTTP トレースを取得してください。多くのツールでは、分析用にブラウザーの HTTP トラフィックを取得できます。
    • ツールを見つけてインストールするには、インターネットで “HTTP Trace” を検索してください。
    • ログイン シーケンスを最初から最後まで取得し、トレースを分析します。想定どおりのシーケンスのどこまで進んでいるかを確認するには、GET リクエストの流れを追跡してください。元のサイトから SP に、次に IdP にリダイレクトされ、ログインが必要だった場合は認証情報が送信され、その後コールバック URL または SP にリダイレクトされ、さらにアプリケーションで指定したコールバック URL にリダイレクトされるはずです。
  • ブラウザーで Cookie と JavaScript が有効になっていることを確認してください。
  • SAML アサーションをデコードするには、http://samltool.io ツールを使用してください。

詳細情報