Azure ADの接続タイプを選択する
3つの方法で、Auth0インスタンスをMicrosoft Entra IDに接続できます。ご自分の状況に最適なアプローチを見極めるためにオプションをよく調べてください。
Auth0は、ネイティブのMicrosoft Entra ID接続から始めることを勧めています。さらにカスタマイズが必要な場合は、SAML接続の構成を参照してください。また、あなたの組織がOAuthコードフローを追加的に制限している場合は、Enterprise OIDCの構成を参照してください。
以下の表は、これらの接続タイプの主な違いについて説明しています。あなたの組織にとって最適な接続を見極めるために、これらの機能をよく確認してください。
| 接続タイプ | 「ネイティブ」のAzure AD | エンタープライズOIDC | SAML |
|---|---|---|---|
| プロトコル | OAuthの認可コードフロー | OAuthの暗黙フローまたはOAuthの認可コードフロー | SAML |
| Azure ADから任意のクレームを受け取ることができるか? | できない | できる | できる |
| フェデレーションログアウト対応(「シングルログアウト」またはSLO) | 対応 | 非対応 | 対応 |
| ADグループの受信 | 受信する、フレンドリ名 | 受信する、オブジェクトID | 受信しない、オブジェクトID |
| 拡張プロファイルの受信 | 受信する | 受信しない | 受信しない |
Microsoft Entra ID
1つ目の接続タイプは、[Auth0 Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]のMicrosoft Entra ID接続です。
この接続タイプは、OAuth認可コードフローを使用します。Microsoft Entra ID接続は、id_tokenからのクレームを受け入れ、Microsoft Graph APIに直接クエリを実行します。構成されたら、クエリは、グループと追加のプロファイル情報を検索します。Microsoft Entra IDは、id_tokenを含む、カスタムクレームを無視します。
接続の機能および考慮事項
この接続タイプはネイティブワークフローであるため、拡張AD機能と明確な互換性があります。Entra ID接続は、プロファイル属性をMicrosoft Graph APIのAuth0ユーザープロファイルに直接マッピングします。
拡張プロファイルオプションは、他の接続タイプでは利用できない3つの属性を提供します。拡張プロファイル機能を使用するには、Microsoft Graph APIにクエリを実行する権限を有効にする必要があります。以下の表では、接続タイプにおけるEntra ID Graph属性を比較しています。
| グラフ属性 | Auth0プロファイル属性 | データタイプ | OIDCまたはSAMLの同等の任意のクレーム |
|---|---|---|---|
| businessPhones | phone | 配列 | - |
| givenName | given_name | 文字列 | given_name |
| jobTitle | job_title | 文字列 | - |
| mobilePhone | mobile | 文字列 | - |
| preferredLanguage | preferred_language | 文字列 | xms_pl |
| surname | family_name | 文字列 | family_name |
| userPrincipalName | upn | 文字列 | upn |
グループの設定
Microsoft Graph APIにクエリを実行する権限を有効にした場合、Auth0は、ユーザーのグループを自動的に取得し、これらをAuth0プロファイルのgroups属性にマッピングします。Auth0は、これらのグループの「フレンドリー名」をマッピングし、これらのグループはMicrosoft Graph APIから直接マッピングしているため、カスタムクレームの構成を必要としません。
SAML
SAML接続タイプは、SAMLプロトコルを使用し、属性マッピングとすべての標準SAML機能をサポートします。
接続の機能および考慮事項
SAML接続タイプは、任意のクレームとフェデレーションログアウトをサポートするため、利用できる接続タイプの中で最も柔軟性があります。これらの機能の両方が必要な場合は、SAMLが両方を同時にサポートする唯一の接続になります。
グループの設定
SAML接続タイプでAuth0がグループ情報を受け入れるには、SAML応答の任意の属性でEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルのgroup_ids属性にグループをマッピングします。
SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、Microsoftのドキュメンテーション
エンタープライズOIDC
エンタープライズOpen ID接続タイプは、OAuth暗黙か認可コードワークフローを使用します。この接続タイプは、id_tokenのカスタムクレームをAuth0ユーザープロファイルにマッピングします。認証フローの詳細については、認証フローと認可フロードキュメントをご覧ください。
接続の機能および考慮事項
規制またはプライバシープロトコルの理由から、ログインフローにクライアントシークレットを提供できない場合は、OIDC接続が提供する暗黙的フローが望ましいメソッドかもしれません。カスタムクレームを必要とするものの、追加のSAML機能を構成したくない場合は、OIDC接続が複雑さを軽減します。
グループの設定
OIDC接続タイプでAuth0がグループ情報を受け入れるには、要求のid_token に groupsを追加するために、任意のクレームでEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルのgroup_ids属性にグループをマッピングします。
SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、Microsoftのドキュメンテーション