メインコンテンツへスキップ
このセクションでは、Auth0 Dashboard で適用する必要がある設定をすべて確認します。

アプリケーション

Auth0 の設定では、まずタイムシートアプリを アプリケーション として登録します。アプリケーションは、 (エンドユーザー) に代わって、保護されたリソースに対するリクエストを行います。
「application」という用語は、特定の実装形態を指すものではありません。アプリケーションには、Web アプリ、モバイルアプリ、SPA などがあります。ExampleCo の場合は、ASP.NET Core Web アプリです。
Auth0 におけるアプリケーションの主な特性は次のとおりです。
  • 名前: アプリケーションの正式な名前です。これは、ポータル、メール、ログなどでアプリケーションを識別するために使用されます。
  • (読み取り専用) : アプリケーションの一意の識別子です。これは、アプリケーションで Auth0 の認証を設定するときに使用する ID です。自動生成される英数字の文字列です。
  • (読み取り専用) : さまざまな認証フローで使用されるトークンの署名と検証に使われる文字列です。自動生成されるため、機密情報として保持する必要があります。
  • ドメイン: Auth0 アカウントに割り当てられるドメイン名です。ドメインの形式は {account-name}.auth0.com または {account-name}.{location}.auth0.com で、たとえば ExampleCo.auth0.com です。
  • コールバックURL: ユーザーが認証された後にリダイレクトされる URL です。

アプリケーションを作成する

ExampleCo のシナリオでは、アプリケーションはタイムシート用の Web アプリ 1 つだけです。そのため、Auth0 側では 1 つのアプリケーションを設定します。 データベース接続を登録するには、Dashboard に移動し、左側のナビゲーションで Applications を選択します。 + Create Application ボタンをクリックします。アプリケーションの名前と種類の入力を求められます。ここでは、アプリケーション名を Timesheet-App とし、アプリケーションの種類として Regular Web Applications を選択します。 Create をクリックすると、Quick Start ビュー に移動します。ここでは、アプリの構築に使用する予定のテクノロジーを選択でき、該当する quickstart ガイドが表示されます。 そのほかに利用できるビューは次のとおりです。

コールバックURLを設定する

Allowed Callback URLs フィールドには、ユーザーの認証後に Auth0 がリダイレクトする URL を指定します。これは、 Connect (OIDC) で認証プロセスを完了するために使用されます。有効な URL はカンマ区切りで複数指定できます。サブドメインには、たとえば *.google.com のように、アスタリスクをワイルドカードとして使用できます。必ず http:// または https:// のプロトコルを指定してください。指定しないと、場合によってはコールバックに失敗することがあります。 サンプルプロジェクトの コールバックURL は http://localhost:5000/signin-auth0 です。サンプルを使用する場合は、この値を Allowed Callback URLs フィールドに設定してください。そうでない場合は、アプリケーションのデプロイ先として選択した URL を追加してください。

接続

次の手順では、Web アプリケーションでの認証に使用するを設定します。各IDプロバイダーは、Auth0 では 接続 に対応します。各アプリケーションには少なくとも 1 つの接続が必要で、各接続は複数のアプリケーションで使用できます。 ExampleCo では、2 つの接続を設定する必要があります。1 つは社内従業員向けの Active Directory 接続、もう 1 つは外部関係者向けのデータベース接続です。

サポートされている IDプロバイダー

Auth0 は、非常に多くのプロトコルと IDプロバイダーをサポートしています。
  • ソーシャル: Google、Facebook、LinkedIn、Github などを使用して、ユーザーがログインできるようにします。
  • エンタープライズ: Active Directory、ADFS、LDAP、 などを使用して、ユーザーがログインできるようにします。
  • データベース接続: 新しいデータベース接続を設定して独自のユーザーストアを作成し、メールアドレスまたは username とパスワードを使用してユーザーを認証します。認証情報は、Auth0 のユーザーストアまたは独自のデータベースに安全に保存できます。
  • 認証: パスワードを覚える必要なく、SMS やメールアドレスなどの認証チャネルを使用してユーザーがログインできるようにします。

データベース接続を作成する

データベース接続を登録するには、次の手順に従います。
  1. DashboardAuthentication > Database に移動します。
  2. + Create DB Connection を選択します。表示された画面で接続の名前を入力し、必要に応じて追加の要件を設定します。
  3. 入力内容が正しいことを確認して、Create を選択します。
データベース接続を作成したら、その接続でアプリケーションを有効にする必要があります。ユーザーがその接続を使用してアプリケーションにアクセスするには、そのアプリケーションで接続が有効になっている必要があります。アプリケーションを有効にするには、新しい接続の Applications タブに移動し、その接続を使用する必要がある各アプリケーションのトグルを有効にします。 データベース接続の詳細については、データベース IDプロバイダー を参照してください。

Active Directory / LDAP 接続を作成する

次に、Active Directory / LDAP 接続を設定します。Auth0 DashboardAuthentication > Enterprise に移動します。 ここで、AD / LDAP 接続を作成し、AD Connector をインストールする必要があります。詳細は次のドキュメントを参照してください。
AD/LDAP Connector は、Active Directory と Auth0 サービスの間をつなぐブリッジです。これは、AD が通常は社内ネットワーク内に閉じている一方で、Auth0 はまったく異なる環境で動作するクラウドサービスであるため必要になります。 詳細情報
接続とコネクターの設定が完了したら、必ずアプリケーションでこの AD / LDAP 接続を使用できるようにしてください。

Kerberos のサポート

AD/LDAP コネクターは Kerberos をサポートしており、企業ネットワーク内のドメイン参加済みマシンを使用しているユーザーは、より簡単に認証できるようになります。Active Directory で Kerberos を有効にするには、Dashboard でオプションを有効にするだけです。Kerberos を有効にすると、IP Ranges も設定できるようになります。ユーザーがこれらの IP アドレス範囲からアクセスしている場合、この情報は SSO エンドポイントで公開されます。これにより、auth0.js や Lock などのクライアントサイド SDK が Kerberos サポートを検出し、Integrated Windows Authentication を利用できるようになります。 詳細情報
Kerberos を有効にする場合は、AD/LDAP の設定ファイルにいくつか変更を加える必要があります。詳細については、AD/LDAP Connector Settings を変更する を参照してください。
これでソリューションの設計と Auth0 側で必要な設定の説明が完了したので、次は Auth0 をタイムシート Web アプリに統合します。