メインコンテンツへスキップ

開始する前に

  • Enterprise プランに加入します。詳しくは、Manage Subscriptions を参照してください。
  • Public Cloud と Private Cloud のどちらを使用しているかを確認します。これらの手順に関する Private Cloud の前提条件については、Deploy Private Cloud を参照してください。
Auth0 を設定すると、テナントメンバー が独自の エンタープライズ IDプロバイダー () を使用して、 (SSO) でサインインできるようになります。

仕組み

Dashboard で SSO を設定するには、Auth0サポートと連携して、テナントメンバーが Dashboard にログインする際に使用できる認証方法を管理するルートテナントオーソリティ (RTA) にエンタープライズ接続を追加する必要があります。 この SSO 接続を追加しても、テナントメンバーが既存の認証方法 (メールアドレス/パスワード、LinkedInMicrosoftGitHubGoogle など) でログインできなくなることはありません。 Dashboard で SSO を設定すると、次のような Auth0 のすべての公開サイトでも SSO が有効になります。

ユーザーエクスペリエンス

権限を持つユーザーが Dashboard にログインする際は、Auth0 のページに、登録済みドメインのメールアドレス (たとえば user@example.com) を入力し、その後、認証を完了するために IdP にリダイレクトされます。

制限事項

Dashboard の SSO を設定する前に、次の制約事項を確認してください。
  • SSO を特定のテナントのみに制限することはできません。
  • SSO は IdP 起点の認証フローをサポートしていません。
  • テナントメンバーへの招待は、Auth0 を使用して自動化したり、一括送信したりすることはできません。
  • テナントメンバーのアクセスを IdP のグループメンバーシップで管理することはできません。
  • をテナント内のすべてのメンバーに必須にすることはできません。

考慮事項

Dashboard へのディレクトリ全体のアクセス

テナントメンバーがログインに使用できる接続として IdP を追加すると、IdP のディレクトリ内のすべてのユーザーが Dashboard にアクセスできるようになります。ただし、特定のテナントにアクセスできるのは、そのテナントに招待されたテナントメンバーだけです。 招待されていないユーザーが Dashboard 内のテナントにアクセスしようとすると、システムはその操作を拒否します。ユーザーがどのテナントにも属していない場合、システムは ユーザープロファイルの入力を完了し、新しい試用テナントを作成するよう求めます。新しい試用テナントを作成しても、Enterprise プランには関連付けられません。

残存するテナントメンバーのアイデンティティ

ダッシュボードで、テナントメンバーが新しい接続で作成されたものとは別のアイデンティティでテナントに招待されており (かつアクセス権を持っていた場合) 、そのアイデンティティを使って引き続きテナントにアクセスできてしまいます。 古いアイデンティティを削除するか、代替の認証方法として残すかを判断する必要があります。

ダッシュボードの SSO を設定する

ダッシュボードの SSO を設定するには、お客様と Auth0 サポートが分担して一連の手順を進める必要があります。

IdP の設定データを共有する

SSO 設定を行えるよう、Auth0 サポート にサポートチケットを作成して、IdP の設定データを共有してください。チケットを送信する際は、次の情報を含めてください。
  • SSO 設定に関連付けるメールアドレスのドメイン
  • IdP の名前
  • 認証プロトコル
  • IdP 固有の追加情報
使用する IdP と認証プロトコルによっては、追加の設定手順が必要です。

ADFS (SAML)

  1. 次のプロパティで、証明書利用者信頼を作成します。
    プロパティ
    エンティティ IDurn:auth0:auth0:{assignedConnectionName}
    コールバック エンドポイントhttps://auth0.auth0.com/login/callback
  2. 次の各クレームについて、クレームの説明を追加します。
    クレームクレーム識別子
    名前識別子http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierE-Mail-Addresses または User-Principal-Name
    メールアドレスhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress該当なし
    名前http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name該当なし
  3. SAML 2.0 エンドポイントを有効にします。
  4. Auth0 サポートに次の情報を提供します。
    • ログイン エンドポイント (例: https://{yourServer}/adfs/ls)
    • 署名証明書、または SAML メタデータ XML ファイル

Azure AD (OIDC)

  1. 新しいアプリ登録を作成します
  2. Redirect URI の種類を Web に、値を https://auth0.auth0.com/login/callback に設定します。
  3. Register を選択します。
  4. IDトークンの暗黙的許可を有効にします
  5. IDトークンにメールアドレス クレームを追加します
  6. 次の情報を Auth0サポートに提供します。
    • アプリケーション (クライアント) ID
    • OIDC メタデータ エンドポイント (例: https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuration)

Azure AD (SAML)

  1. 新しいエンタープライズ アプリケーションを作成します
  2. 次のプロパティで SAML のシングル サインオン を設定します (Auth0 サポート から SSO 接続の名前が提供されるまでは、プレースホルダー値を使用する必要がある場合があります) 。
    プロパティ
    識別子 (Entity ID)urn:auth0:auth0:{assignedConnectionName}
    応答 (ACS) URLhttps://auth0.auth0.com/login/callback
    サインオン URLhttps://manage.auth0.com/login?connection={assignedConnectionName}
  3. Attributes & Claims セクションは、emailUnique User Identifier、および必要に応じて name - を含め、Azure の推奨設定から変更しないでください。
  4. SAML メタデータ XML を Auth0 サポート に提供します。次のいずれかの方法を使用できます。
    • App Federation Metadata URL を共有します (例: https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}) 。
    • Federation Metadata XML ドキュメントをダウンロードし、チケットに添付します。

Google (SAML)

Auth0 では、Google の IdP を使用してダッシュボードの SSO を設定できますが、既存の Google 認証方式でログインするようユーザーを誘導することを推奨します。 ユーザーが Google SAML IdP にログインすると、Auth0 はそのユーザー用に新しいユーザー ID を作成します (既存の Google ユーザー ID とは別です) 。このため、混乱を招く可能性があります。 Google SAML IdP を使用してダッシュボードの SSO を設定する場合は、手順について Generic IdP (SAML) を参照してください。

Okta (SAML)

  1. 次のプロパティで SAML アプリケーションを作成します (Auth0 サポート から SSO 接続の名前が提供されるまでは、プレースホルダー値を使用する必要がある場合があります) 。
    プロパティ
    エンティティ IDurn:auth0:auth0:{assignedConnectionName}
    コールバックエンドポイント (ACS URL)https://auth0.auth0.com/login/callback
  2. Name Identifier は、ユーザーのメールアドレスを送信するように設定します。
  3. Auth0 サポート に SAML メタデータ XML を提供します。次のいずれかの方法で行います。
    • SAML メタデータ XML の URL を共有します。
      1. SAML Signing Certificates セクションを開きます。
      2. Actions メニューを選択します。
      3. View IdP metadata を選択し、続けて Copy Link Address を選択します。URL の形式は https://{org}.okta.com/app/{appId}/sso/saml/metadata です。
    • SAML メタデータ XML ファイルをダウンロードし、チケットに添付します。
IdP 起点の認証フロー
Dashboard の SSO は、IdP 起点の認証フローをサポートしていません。ユーザーが chiclet を選択して Dashboard にログインできるようにするには、次の手順を実行します。
  1. ユーザーには SAML アプリを表示しないようにします。
  2. https://manage.auth0.com/login?connection={assignedConnectionName} を指す Bookmark App を作成 します。ユーザーはこのアプリケーションを選択してログインします。
アプリケーションを利用できる同じユーザーに対して、SAML アプリケーションと Bookmark App の両方を有効にしてください。

OneLogin (SAML)

  1. 次のプロパティを使用して SAML Test Connector (SP) を作成します (Auth0 Support から SSO 接続の名前が提供されるまでは、プレースホルダー値を使用する必要がある場合があります) 。
    プロパティ
    エンティティ IDurn:auth0:auth0:{assignedConnectionName}
    コールバック エンドポイント (ACS URL)https://auth0.auth0.com/login/callback
    ログイン URLhttps://manage.auth0.com/login?connection={assignedConnectionName}
  2. SAML メタデータ XML ファイルを Auth0 Support に送付してください。

汎用IdP (OIDC)

  1. 次のプロパティを指定して、IdP にアプリケーション (クライアント) を登録します。
    プロパティ
    コールバック URLhttps://auth0.auth0.com/login/callback
  2. email クレームを追加して、IDトークンに含めます。
  3. Auth0 サポート に次の情報を提供します。
    • アプリケーション (クライアント) ID
    • Issuer URL または OIDC メタデータエンドポイント (例: https://{idpDomain}/[...]/.well-known/openid-configuration)
利用可能であれば、Auth0 サポート は Form Post を使用する Implicit Mode フロー を使用します。お使いの IdP がこれをサポートしていない場合は、アプリケーションのクライアントシークレットを提供する必要があります。

汎用 IdP (SAML)

  1. Auth0 サポートから SSO 接続の名前が提供されます。
  2. 次のプロパティで SAML アプリケーションを作成します。
    プロパティ
    エンティティ IDurn:auth0:auth0:{assignedConnectionName}
    コールバックエンドポイントhttps://auth0.auth0.com/login/callback
  3. SAML アサーションに次のクレームが含まれていることを確認します。
    クレームクレーム識別子
    名前識別子http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierupn または emailaddress
    メールアドレスhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress該当なし
    名前http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name該当なし
  4. Auth0 サポートに次のいずれかを提供します。
    • サインイン URL と署名証明書
    • SAML メタデータ XML ファイル

SSO 接続を設定する

Auth0 サポートチームは、お客様から提供された設定データを使用して、SSO 接続の初期設定を完了します。 Home Realm Discovery (HRD) は、初期設定時には構成されません。

SSO 接続をテストする

SSO 接続の初期設定が完了すると、Auth0 サポートチームから、設定データが正しいこと、およびテナントメンバーが想定どおりの方法で SSO 接続を使用して認証できることを確認するために、SSO 接続のテストを依頼されます。 Auth0 サポートチームからは、新しい SSO 接続での認証を開始するために使用できる直接ログイン URL が提供されます。例: https://manage.auth0.com/login?connection={assignedConnectionName}

Auth0 Teams で SSO を強制する

Enterprise テナントで Auth0 Teams を使用している場合は、Teams アカウントに属するテナントに対して SSO 認証を強制できます。テナントの管理と運用の詳細については、Auth0 Teams を参照してください。
  1. 新しいブラウザーウィンドウを開き、Teams アカウントの URL に識別子を入力します: https://accounts.auth0.com/teams/{team-identifier}.
    Teams の識別子は、URL または Teams の Settings で確認できます。
  2. Security ページに移動します。
  3. Enforce Single Sign On を選択して、Security Policies を設定します。

Home Realm Discovery を有効にする (任意)

Universal Login または Classic Login を使用している場合は、HRD を有効にするようリクエストできます。これにより、ログインページでテナントメンバーが入力したメールアドレスのドメインを認識し、新しい SSO 接続に誘導できるようになります。

HRD を有効にするタイミング

HRD を有効にすると、以前メールアドレス/パスワードの ID を使用していたテナントメンバー (メールアドレスが設定された HRD ドメインと一致する場合) は、ログインページからログインできなくなります。また、HRD はメールアドレス識別子にのみ対応しています。 この動作変更があるため、少なくとも現在のテナントメンバーの一部がこの変更を認識し、次のいずれかが必要になることを理解してから、HRD の有効化を依頼してください。
  • 新しい ID でテナントに参加するための招待を受け取る
  • 新しい ID で自分自身を再招待する必要がある

HRD を回避する方法

テナントメンバーがメールアドレス/パスワードの認証情報でログインする必要がある場合は、直接ログイン用 URL を提供できます。 https://manage.auth0.com/login?connection=auth0 この URL を使用すると HRD を回避でき、メールアドレス/パスワードの認証情報でログインできます。

HRD ログイン動作の例

以下は、テナントメンバーの一覧例です。
テナントテナントメンバー接続影響あり?
fabrikam@ususer1@example.comメールアドレス/パスワードはい
fabrikam@ususer1@gmail.comgoogle-oauth2いいえ
fabrikam@ususer2@example.comgithubいいえ
fabrikam@ususer3@acme.comメールアドレス/パスワードいいえ
fabrikam@ususer4@example.comメールアドレス/パスワードはい
fabrikam-dev@ususer5@example.comメールアドレス/パスワードはい
fabrikam-dev@ususer1@example.comメールアドレス/パスワードはい
example.com ドメインを新しい接続に関連付けると、テナントメンバー user1@gmail.comuser2@example.comuser3@acme.com は、ソーシャルプロバイダーを使用しているか、関連付けられていないドメインのメールアドレスを使用しているため、これまでどおりログインできます。 一方、テナントメンバー user1@example.comuser4@example.comuser5@example.com は、メールアドレスが HRD 用に設定されたドメインに関連付けられているため、これまでと同じ方法ではログインできません。

既存のテナントメンバーを移行する

既存のテナントメンバーの移行手順は、HRD を有効にしているかどうかによって異なります。

HRD を無効にして移行する方法

HRD を無効にした状態でテナントメンバーを移行するには、新しい SSO 接続の直接ログイン URL を共有する必要があります。 https://manage.auth0.com/login?connection={assignedConnectionName}
  1. テナントメンバー向けの新しい招待を作成します。
  2. テナントメンバーに、次のように案内します。
    1. 招待を承諾する前に、直接ログイン URL を使用して新しい SSO 接続にログインします。
      新しい SSO 接続へのログインが初めての場合は、プロフィール補完ページ (https://auth.com/profile) が表示されることがあります。どの項目にも入力せず、次へ も選択しないでください。代わりに、次の手順に進んでください。
    2. 招待メールで受け取った招待 URL をコピーして、新しい SSO 接続にログインしたときと同じブラウザーに貼り付けます。ユーザーは アカウントを作成 を選択しないでください。
    3. 招待を承諾します。
    4. ユーザーが他のテナントへの招待も受け取っている場合は、この時点でそれらも使用できます。

HRD を有効にしたまま移行する方法

HRD が有効になっているテナントメンバーを移行するには、テナントメンバーの追加と同様の手順に従います。
  1. テナントメンバーに対して、新しいテナントメンバー招待を作成します。
  2. テナントメンバーに次のように案内します。
    1. ダッシュボードからログアウトします (以前の ID でログインしていた場合) 。
      初めて招待を承諾する場合は、「Create a new tenant」または「Create a new account」ページが表示されることがあります。Next は選択せず、代わりに次の手順に進んでください。
    2. 受信した招待メール内の招待リンクを開きます。
    3. 新しい接続でログインします。
    4. 招待を承諾します。