メインコンテンツへスキップ

前提条件

手順

アプリケーションをOIDCのIDプロバイダーに接続するには、以下を行います。
  1. OpenID ConnectのIDプロバイダーでアプリをセットアップする
  2. Auth0でエンタープライズ接続を作成する
  3. Auth0アプリケーションでエンタープライズ接続を有効にする
  4. 接続をテストする

OIDCのIDプロバイダーでアプリをセットアップする

OIDCのIDプロバイダーを使用してユーザーがログインできるようにするには、でアプリケーションを登録する必要があります。このプロセスはOIDCのIDプロバイダーによって異なるため、プロバイダーのドキュメンテーションに従って作業を行う必要があります。 一般に、いずれかの時点で次のコールバックURLを入力するようにしてください:https://{yourDomain}/login/callback

リダイレクト用のAuth0ドメイン名を見つける

上記で、 カスタムドメイン機能を使っていないのにAuth0ドメイン名が表示されない場合は、ドメイン名がテナント名、地域のサブドメイン、および「auth0.com」をドット記号(「.」)で区切って連結したものだからです。たとえば、テナント名が「exampleco-enterprises」でテナントがUS地域にある場合、Auth0ドメイン名は「exampleco-enterprises.us.auth0.com」、 Redirect URI(リダイレクトURI) は「https://exampleco-enterprises.us.auth0.com/login/callback」になります。ただし、テナントがUS地域にあり、2020年6月よりも前に作成された場合、Auth0ドメイン名は「exampleco-enterprises.auth0.com 」、 Redirect URI(リダイレクトURI) は「https://exampleco-enterprises.auth0.com/login/callback」になります。カスタムドメインを使っている場合、 Redirect URI(リダイレクトURI) は「https://<YOUR CUSTOM DOMAIN>/login/callback」になります。
このプロセス中に、OIDCのIDプロバイダーは、通常 クライアントID または アプリケーションID と呼ばれる、登録済みAPIに対する一意の識別子を生成します。この値は書きとめておいてください。後で必要になります。

Auth0でエンタープライズ接続を作成する

次に、Auth0でOIDCのエンタープライズ接続を作成・構成する必要があります。OIDCプロバイダーでアプリをセットアップする際に、 [Application (client) ID(アプリケーション(クライアント)ID)](クライアントシークレット)] が生成されていることを確認してください。

Auth0 Dashboardを使用してエンタープライズ接続を作成する

Auth0 Dashboardを介した構成を可能にするためには、OpenID Connect(OIDC)IDプロバイダー(IdP)がOIDC検出をサポートしている必要があります。それ以外の場合は、Management APIを使用して接続を構成できます。
  1. [Auth0 Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]に移動し、 Open ID Connect の[+]記号をクリックします。
    Dashboard - 接続 -エンタープライズ
  2. 接続の詳細を入力し、 [Create(作成)] をクリックします。
  3. OIDC接続の詳細を入力する
    必要であれば、 [Settings(設定)] ビューで、他の構成を調整します。
  4. [Provisioning(プロビジョニング)] ビューでユーザープロファイルがAuth0で作成および更新される方法を構成することができます。
  5. [Login Experience(ログインエクスペリエンス)] ビューでこの接続でのユーザーログインの方法を構成することができます。
    任意のフィールドは、New Universal Loginでのみ使用することができます。Classic Loginを使用している場合、[Add(追加)]ボタン、ボタンの表示名、ボタンロゴのURLは表示されません。
  6. [Save Changes(変更の保存)] を選択します。

Management APIを使用してエンタープライズ接続を作成する

以下の例では、Auth0のを使用して接続を作成するさまざまな方法をご紹介します。接続は、メタデータのURIを入力するか、OIDCのURLを明示的に設定することで構成できます。詳細については、「IDプロバイダー」をお読みください。

ディスカバリーエンドポイントでフロントチャネルを使用

ディスカバリーエンドポイントでバックチャネルを使用

バックチャネルを使って発行者の設定を指定

フロントチャネルを使って発行者の設定を指定

PKCEとクレームのマッピングを構成する

エンタープライズ接続では、PKCEや、属性とトークンのマッピングをサポートすることができます。詳細については、「OIDC接続のPKCEとクレームのマッピングを構成する」を参照してください。

Auth0アプリケーションでエンタープライズ接続を有効化

新たなエンタープライズ接続を使うにはまずAuth0アプリケーションの接続を有効にする必要があります。

接続をテストする

これで接続をテストする準備が整いました。

発行者のメタデータを手動で構成する

発行者URLエンドポイントの [Show Issuer Details(発行者の詳細を表示)] をクリックすると、データが表示され、必要であれば調整することができます。

Auth0とのフェデレーション

Connectのエンタープライズ接続は、別のAuth0テナントとのフェデレーションで大いに役立ちます。 [Issuer(発行者)] フィールドにAuth0テナントURL(たとえば、https://<tenant>.us.auth0.com)を入力して、 (クライアントID)] フィールドに、フェデレーション(連合)したいテナントのアプリケーションのクライアントIDを入力するだけです。
新しいテナントでは、URLの一部にusが使用されます。地域ドメインの追加前に作成されたテナントは引き続き動作します。たとえば、https://{あなたのアカウント}.auth0.comなどです。

グローバルトークン取り消しを構成する

この接続タイプはグローバルトークン取り消しエンドポイントに対応しており、準拠しているIDプロバイダーがAuth0ユーザーセッションとリフレッシュトークンを取り消し、安全なバックチャネルを使用してアプリケーションのバックチャネルログアウトをトリガーできます。 この機能はOkta Workforce Identity Cloudでユニバーサルログアウトと併用できます。 詳しい情報と構成手順については、「ユニバーサルログアウト」を参照してください。