セルフサービスシングルサインオン
セルフサービスシングルサインオン(SSO)は、ツールを提供して、B2Bの顧客が独自のエンタープライズ顧客にSSOのセットアップを委任できるようにします。このタスクを委任することで、オンボーディングプロセスを円滑化し、顧客がより自主的に自らのサインオンエクスペリエンスを管理できるようになります。また、カスタマーベース全体でのSSO管理に関連する時間と費用を削減できます。
セルフサービスSSOは、Auth0テナントでの構成を最小限に抑える一方で、顧客には有効化プロセスをガイドするセットアップアシスタントが提供されます。顧客がセットアップを完了すると、SSO統合がエンタープライズ接続としてお客様のテナントに自動的に追加されます。
セルフサービスSSOは、プロフェッショナルプランまたはエンタープライズプランのB2Bのお客様のみご利用いただけます。Dashboardで次のロールを持つユーザーが、この機能を利用できます。
管理者および編集者 - Connectionsユーザーはセルフサービスのプロファイルを作成および管理できます。
閲覧者 - Configユーザーはセルフサービスのプロフィールのみを表示できます。
サポートされているプロバイダー
早期アクセス期間中、セルフサービスSSOは以下のIDプロバイダーをサポートします。
Okta Workforce Identity Cloud(OIDCを使用)
Entra ID
Google Workspace(OIDCを使用)
Keycloak
Microsoft Active Directory Federation Services (ADFS)
PingFederate
Generic OIDC
Generic SAML
仕組み
セルフサービスSSOは、以下のコンポーネントを使用してセットアップを顧客に委任します。
セルフサービスプロファイル:SSOに使用するIDプロバイダーや、メールアドレスなどの取得が必要なユーザー属性など、顧客のSSO実装の主要な要素を定義します。
セルフサービスアクセスチケット:SSOセットアップアシスタントへのアクセス権を顧客の管理者に付与し、結果として得られるSSO統合の具体的な詳細を設定します。
SSOセットアップアシスタント:SSOセットアッププロセスについて顧客の管理者をガイドします。
セルフサービスプロファイルを作成する
セルフサービスSSOワークフローには、以下のタスクが含まれます。
お客様(Auth0のご利用者)が、Auth0 DashboardまたはManagement APIを使用してお客様のテナントでセルフサービスプロファイルを作成します。
次に、Management APIを使用して、顧客の管理者がSSOを構成できるようにするセルフサービスアクセスチケットを作成します。
手順2で作成したアセットからチケットURLを取得して、このリンクを顧客の管理者に送信します。
顧客の管理者はSSOセットアップアシスタントを起動して、表示される手順に従い、自身のIDプロバイダーを使ってアプリケーションを作成します。
顧客のアプリケーションをポイントする新たなエンタープライズ接続がお客様のAuth0テナントに追加されます。
図を選択すると表示が拡大されます。
セルフサービスSSOの使用
以下のセクションでは、セルフサービスプロファイルの構成および顧客の管理者と共有するセルフサービスアクセスチケットの生成の手順について詳しく説明します。
セルフサービスアクセスチケットを管理する
セルフサービスプロファイルは、Auth0 DashboardまたはManagement APIを使用して作成できます。セルフサービスプロファイルは、以下を含む顧客実装の主要な要素を決定するために使用されます。
顧客の管理者がSSOに使用できるIDプロバイダー
メールアドレスや姓など、SSOを通して取得する必要があるユーザー属性
SSOセットアップアシスタントの外観をカスタマイズするブランディングオプション
異なる顧客やセグメントに対応するために、プロファイルは必要に応じて最大20まで作成できます。
Auth0 Dashboardでセルフサービスプロファイルを作成するには:
[Authentication(認証)] > [Enterprise(エンタープライズ)]に移動し、 [Self-Service SSO(セルフサービスSSO)]セクションを開きます。その後、 [Create Profile(プロファイルを作成)]を選択します。
表示されるスペースで、プロファイル名と任意の説明を入力します。その後、 [Create(作成)]を選択します。
[Settings(設定)]タブで、以下のセクションを完了します。これらのセクションを更新したら、[Save(保存)]を選択します。
[Identity Providers(IDプロバイダー)]:1つ以上のIDプロバイダーを有効化します。SSO設定アシスタントで、お客様の管理者は、有効化されたプロバイダーのリストから適したオプションを選択できます。
[Branding(ブランディング)]:SSO設定アシスタント用のロゴとプライマリカラーを提供します。
[Custom Introduction(カスタムイントロダクション)]:必要に応じて、デフォルトのメッセージを変更するか、置き換えます。この導入テキストは、SSO設定アシスタントのランディングページでお客様の管理者に表示されます。メッセージには、太字やハイパーリンクなどの基本的な書式オプションを含めることができます。2,000文字まで使用できます。
[User Profile(ユーザープロファイル]タブで、メールや姓など、お客様がSSOでキャプチャするべきユーザー属性を最大20個追加できます。各属性に
requiredまたはoptionalを設定できます。設定アシスタントフローでは、必要な値がAuth0に確実に渡されるように、お客様の管理者はこれらの定義済みユーザー属性をIDプロバイダーにマッピングするように求められます。
セルフサービスプロファイルを作成するには、まずセルフサービスプロファイルエンドポイントを呼び出します。その後、任意で導入テキストを変更するには、PUT呼び出しを使用します。
セルフサービスプロファイルを作成する:
セルフサービスプロファイルエンドポイントにPOST呼び出しを行います。
必要に応じて、要求本文で以下のパラメーターを指定します:
| パラメーター | 説明 |
|---|---|
name |
文字列。最大長は100文字です。 セルフサービスプロファイル用のユーザーが使いやすい名前。 このパラメーターは必須です。 |
description |
文字列。最大長は140文字です。 サービスプロファイルの説明。 このパラメーターは任意です。 |
allowed_strategies |
配列。 お客様の管理者がSSOの実装に使用できる1つ以上のIDプロバイダー。オプションは次のとおりです。
|
user_attributes |
オブジェクト。最大長は20文字です。 設定アシスタントフロー中にお客様の管理者に表示されるストアマッピング情報。特定の属性がAuth0に確実に渡されるように、お客様の管理者はこれらの属性をIDプロバイダーにマッピングするように求められます。 このパラメーターは任意です。 |
user_attributes[].name |
文字列。最大長は255文字です。 Auth0でのユーザー属性名。 user_attributesを定義する場合、このパラメーターは必須です。 |
user_attributes[].description |
文字列。最大長は255文字です。 ユーザー属性の人間が理解できる説明。 user_attributesを定義する場合、このパラメーターは必須です。 |
user_attributes[].is_optional |
ブール値。 アプリケーションが機能するために、属性が任意かお客様に必須かを示します。
user_attributesを定義する場合、このパラメーターは必須です。 |
branding |
オブジェクト。 お客様の管理者に表示されるSSO設定アシスタントのスタイリングをカスタマイズするために使用されます。 このパラメーターは任意です。 |
branding.logo_url |
文字列。最大長は1024文字です。 ロゴをポイントするHTTPS URL。提供されている場合、このロゴはSSO設定アシスタントの右上に表示されます。 このパラメーターは任意です。 |
branding.colors |
オブジェクト。 インタラクティブボタンなど、SSO設定アシスタントの一部の要素にプライマリカラーを設定できるようにします。 このパラメーターは任意です。 |
branding.colors.primary |
文字列。 SSO設定アシスタントに使用されるプライマリカラーのhex値を指定します。 branding.colorsを定義する場合、このパラメーターは必須です。 |
要求本文の例
{
"name": "Example Profile",
"description": "An example profile for all customers",
"allowed_strategies": ["okta","adfs","google-apps"],
"user_attributes": [
{
"name": "email",
"description": "User's email",
"is_optional": false,
}
],
"branding": {
"logo_url": "https://example.com/logo.png",
"colors": {
"primary": "#334455"
}
}
}Was this helpful?
イントロダクションテキストをカスタマイズする
お客様の管理者がSSO設定アシスタントにアクセスすると、利用を始めるための導入ページにまず移動します。デフォルトでは、以下のメッセージが表示されます:
「あといくつかの簡単なステップで、SSOの設定が完了します。この設定プロセスでは、ご利用のIDプロバイダーにも一部変更を加えます。操作を始める前に、別のブラウザータブかウィンドウで、ご利用のIDプロバイダーを開いてください。」
このテキストは、 セルフサービスプロファイルのカスタムテキストエンドポイントにPUT呼び出しを行うことで、変更できます。
この呼び出しにより、セルフサービスプロファイルに現在設定されているメッセージングがすべて上書きされることに注意してください。呼び出しに、顧客管理者に表示する完全なテキストが含まれていることを確認してください。
PUT /api/v2/self-service-profiles/{id}/custom-text/{language}/{page}を呼び出します。ここには、以下が含まれます。idは、セルフサービスプロファイルのプロファイルIDですlanguageはenに設定されていますpageはget-startedに設定されています
要求本文で、以下を指定します:
プロパティ 説明 introduction文字列。最大長は2000文字です。
SSO設定アシスタントのランディングページで表示する、導入テキストを完成させます。テキストには、太字やハイパーリンクなどの基本的な書式オプションを含めることができます。
このパラメーターで提供されるカスタムテキストは、以前のあらゆるメッセージを完全に上書きします。最善の結果が得られるように、お客様の管理者に表示したいメッセージ全文を提供してください。
空の本文{}を送信すると、カスタマイズされたメッセージがデフォルトのテキストにリセットされます。応答で、作成したエンティティが返されます。
呼び出しの例
PUT /api/v2/self-service-profiles/ssp_1234567890/custom-text/en/get-started
{
introduction: "Welcome! With <b>only a few steps</b>, you'll be able to setup your new connection. For assistance, contact <a href="https://www.examplesupportsite.com"> our support team </a>."
}Was this helpful?
応答の例
{
introduction: "Welcome! With <b>only a few steps</b>, you'll be able to setup your new connection. For assistance, contact <a href="https://www.examplesupportsite.com"> our support team </a>."
}Was this helpful?
API
セルフサービスプロファイルを少なくとも1つ作成したら、Management APIを使用してセルフサービスアクセスチケットを生成できます。セルフサービスアクセスチケットは、主に2つの役目を果たします。
顧客の管理者にSSOセットアップアシスタントへのアクセス権を付与します。顧客の管理者はこれを通して新規のSSO接続を構成したり、既存の接続を修正したりできます。
新規接続で有効にするアプリケーションや組織など、顧客の管理者が構成する新規SSO接続の主な詳細情報および動作を事前定義します。
アクセスチケットを生成する
セルフサービスアクセスチケットを生成するには以下を行います。
セルフサービスプロファイル取得エンドポイントを通して、アクセスチケットに関連付けるセルフサービスプロファイルのIDを取得します。
適切なセルフサービスプロファイルのIDを使用して、SSOアクセスチケットエンドポイントを呼び出します:
POST /api/v2/self-service-profiles/{id}/sso-ticket
要求本文で、以下の表で説明されているパラメーターを指定します。
セルフサービスアクセスチケットは顧客の管理者にSSOセットアップアシスタントへのアクセスを付与します。ここでは、新しいSSO接続を構成するか、既存の接続を変更することができます。
新規接続用にアクセスチケットを生成する場合は、
connection_configパラメーターを使用して、確立されるSSO接続の主要な詳細を定義することができます。アクセスチケットを既存の接続用に作成する場合は、
connection_idパラメーターを代わりに使用する必要があります。
既存の接続についてconnection_configの詳細を更新する場合、SSOアクセスチケットエンドポイントは使用できません。既存の接続にこの情報を変更しなければならない場合は、接続更新エンドポイントを使用します。
| パラメーター | 説明 |
|---|---|
connection_id |
文字列。 既存のSSO接続を更新するためのアクセスチケットを生成するときに、このオプションを提供します。 顧客の管理者がSSOセットアップアシスタントを介して更新する接続のIDです。顧客の管理者はSAML証明書、または、関連する接続のOIDC IDやシークレットを変更することができます。 接続IDは、Auth0 Dashboardの[Authentication(認証)]セクション、またはすべての接続取得エンドポイントから取得することができます。 connection_idはconnection_configと同時に使用できません。 |
connection_config |
オブジェクト。 SSO接続を新規作成するためのアクセスチケットを生成するときに、このオプションを提供します。顧客の管理者は、SAML証明書、OIDC IDやシークレットなど、接続の重要な要素を変更することができます。 connection_configとconnection_idは同時に使用できません。 |
connection_config.name |
文字列。最大長は128文字です。 SSOセットアップアシスタントを介して作成された接続の名前です。 connection_configを使用する場合、このパラメーターは必須です。 |
connection_config.display_name |
文字列。最大長は128文字です。 SSOセットアップアシスタントを介して作成された接続の分かりやすい名前です。この名前はユニバーサルログインプロンプトに表示されます。 connection_configを使用する場合、このパラメーターは任意です。 |
connection_config.is_domain_connection |
ブール値。 接続がドメインレベルにある場合は、 trueに設定します。connection_configを使用する場合、このパラメーターは任意です。 |
connection_config.show_as_button |
ブール値。trueの場合、接続はアプリケーションのログイン画面に認証オプションとして表示されます。connection_configを使用する場合、このパラメーターは任意です。 |
connection_config.metadata |
オブジェクト[]。 確立される接続に関連付けられたメタデータです。オブジェクトは最大10個のキーと値のペアを持つことができます。文字列の値は最大255文字まで使用できます。 connection_configを使用する場合、このパラメーターは任意です。 |
connection_config.options |
オブジェクト[]。 確立される接続のオプションで、 icon_urlとdomain_aliases[]を含みます。connection_configを使用する場合、このパラメーターは任意です。 |
enabled_clients |
文字列[]。 SSO接続に関連付けるアプリケーションクライアントIDのリストです。 |
enabled_organizations |
オブジェクト[]。 SSO接続に関連付ける組織のリストです。 |
enabled_organizations[].organization_id |
SSO接続に関連付ける特定の組織のIDです。 IDは、Auth0 Dashboardの[Organizations(組織)]セクション、Organizations取得エンドポイント、または名前でのOrganization取得エンドポイントから取得することができます。 enabled_organizationsを使用する場合、このパラメーターは必須です。 |
enabled_organizations[].assign_membership_on_login |
ブール値。trueの場合、関連付けられた接続を使ってログインするユーザーには、特定の組織へのメンバーシップが自動的に付与されます。enabled_organizationsを使用する場合、このパラメーターは任意です。 |
enabled_organizations[].show_as_button |
ブール値。trueの場合、関連付けられた接続はアプリケーションのOrganizationログイン画面に認証オプションとして表示されます。これは、エンタープライズ接続でのみ有効にすることができます。enabled_organizationsを使用する場合、このパラメーターは任意です。 |
ttl_sec |
数字。 アクセスチケットが期限切れになるまでの秒数です。この数値が指定されていない、または 0に設定されている場合、値はデフォルトで432000(5日に相当)に設定されます。 |
要求本文の例
{
"connection_config":{
"name":"string",
"display_name":"string",
"is_domain_connection":true,
"show_as_button":true,
"metadata":{
"key1":"value1",
"key2":"value2"
},
"options":{
"icon_url":"string",
"domain_aliases":[
"acme.corp",
"okta.com"
],
"idpinitiated": {
"enabled": true,
"client_id": "string",
"client_protocol": "string",
"client_authorizequery": "string"
}
}
},
"enabled_clients":[
"string"
],
"enabled_organizations":[
{
"organization_id":"string",
"assign_membership_on_login":true,
"show_as_button":true
}
],
"ttl_sec":0,
"domain_aliases_config": {
"domain_verification": "string"
}
}Was this helpful?
応答で、セルフサービスアクセスチケットへのURLを受け取ります。
{
"ticket": "https://{domain}/self-service/connections-flow?ticket={id}"
}Was this helpful?
デフォルトで、アクセスチケットのURLは生成後5日間有効です。URLにアクセスした後、顧客の管理者は5時間以内にセットアップを完了する必要があります。アクセスチケットは10回まで使用できます。この上限に達したら、新しいアクセスチケットをリクエストする必要があります。
必要であれば、有効期限が切れる前にアクセスチケットを取り消して、セットアップアシスタントへのアクセスを即座に止めることができます。
チケットURLを受け取ったら、顧客の管理者にそのリンクを共有して、SSOセットアップアシスタントへのアクセス権を付与します。後はセットアップアシスタントがSSO接続の構成についてガイドしてくれます。
アクセスチケット生成を独自のセルフサービスポータルにラップするか、チケットURLをメール、チャット、その他のコミュニケーションチャネルを通して直接顧客の管理者に送信することができます。
アクセスチケットを取り消す
デフォルトでは、アクセスチケットURLは5日間有効です。顧客の管理者は、URLにアクセスしたら5時間以内にセットアップを完了する必要があります。必要に応じて、この有効期限の前にアクセスチケットを取り消すことができます。たとえば、アクセスチケットが誤ったオーディエンスと共有されてしまった場合、SSOセットアップアシスタントへの不正アクセスを防ぐためにチケットを取り消すことができます。
アクセスチケットが取り消されると、そのURLは直ちに無効になり、関連セッションがすべて終了されます。URLを共有した顧客の管理者は、SSOセットアップアシスタントにアクセスできなくなります。その後、必要に応じて新しいアクセスチケットを生成して共有することができます。
アクセスチケットを取り消すには以下を行います。
セルフサービスプロファイル取得エンドポイントを使用して、アクセスチケットに関連付けられているセルフサービスプロファイルのIDを取得します。
取り消すアクセスチケットのIDを見つけます。IDは、アクセスチケットURLの末尾にあります。
適切なIDを使用してアクセスチケット取り消しエンドポイントを呼び出します:
POST /api/v2/self-service-profiles/{id}/sso-ticket/{id}/revoke
応答で、202 Acceptedが返されます。
リファレンス
API
セルフサービスSSOの管理には、以下のManagement APIエンドポイントが使用できます。
レート制限
セルフサービスSSOの使用では、以下のレート制限が適用されます。
| 説明 | エンドポイント | 制限 |
|---|---|---|
| SSOプロファイルを管理する | /api/v2/self-service-profiles |
「Management APIのレート制限」でサブスクリプションの種類を確認してください。 |
| アクセスチケットを作成する | /api/v2/self-service-profiles/{id}/sso-ticket |
「Management APIのレート制限」でサブスクリプションの種類を確認してください。 |
| アクセスチケットを使用する | /self-service/connection-flows?ticket={id} |
6 / 分 / IP |
| webapp(セットアップアシスタントを含む)とwebappエンドポイントを読み込む | /self-service/* |
50 / 分 / IP 90 / 分 / テナント |