> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Azure ADの接続タイプを選択する

> Azureの接続タイプと機能について説明します。

3つの方法で、Auth0インスタンスをMicrosoft Entra IDに接続できます。ご自分の状況に最適なアプローチを見極めるためにオプションをよく調べてください。

Auth0は、ネイティブのMicrosoft Entra ID接続から始めることを勧めています。さらにカスタマイズが必要な場合は、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-1" href="/docs/ja-jp/glossary?term=security-assertion-markup-language" tip="Security Assertion Markup Language（SAML）: パスワードなしに二者間で認証情報を交換できる標準化プロトコル。" cta="用語集の表示">SAML</Tooltip>接続の構成を参照してください。また、あなたの組織が<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=oath2" tip="OAuth 2.0: 認可プロトコルとワークフローを定義する認可フレームワーク。" cta="用語集の表示">OAuth</Tooltip>コードフローを追加的に制限している場合は、Enterprise OIDCの構成を参照してください。

以下の表は、これらの接続タイプの主な違いについて説明しています。あなたの組織にとって最適な接続を見極めるために、これらの機能をよく確認してください。

| 接続タイプ                                  | 「ネイティブ」のAzure AD | エンタープライズOIDC                 | SAML           |
| -------------------------------------- | ---------------- | ---------------------------- | -------------- |
| **プロトコル**                              | OAuthの認可コードフロー   | OAuthの暗黙フローまたはOAuthの認可コードフロー | SAML           |
| **Azure ADから任意のクレームを受け取ることができるか?**     | できない             | できる                          | できる            |
| **フェデレーションログアウト対応（「シングルログアウト」またはSLO）** | 対応               | 非対応                          | 対応             |
| **ADグループの受信**                          | 受信する、フレンドリ名      | 受信する、オブジェクトID                | 受信しない、オブジェクトID |
| **拡張プロファイルの受信**                        | 受信する             | 受信しない                        | 受信しない          |

## Microsoft Entra ID

1つ目の接続タイプは、[［Auth0 Dashboard］>［Authentication（認証）］>［Enterprise（エンタープライズ）］](https://manage.auth0.com/dashboard/#/connections/enterprise)の **Microsoft Entra ID** 接続です。

この接続タイプは、OAuth認可コードフローを使用します。Microsoft Entra ID接続は、`id_token`からのクレームを受け入れ、Microsoft Graph APIに直接クエリを実行します。構成されたら、クエリは、グループと追加のプロファイル情報を検索します。Microsoft Entra IDは、`id_token`を含む、カスタムクレームを無視します。

### 接続の機能および考慮事項

この接続タイプはネイティブワークフローであるため、拡張AD機能と明確な互換性があります。Entra ID接続は、プロファイル属性をMicrosoft Graph APIのAuth0ユーザープロファイルに直接マッピングします。

拡張プロファイルオプションは、他の接続タイプでは利用できない3つの属性を提供します。拡張プロファイル機能を使用するには、[Microsoft Graph APIにクエリを実行する権限を有効](https://auth0.com/docs/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2#add-permissions)にする必要があります。以下の表では、接続タイプにおけるEntra ID Graph属性を比較しています。

| グラフ属性             | Auth0プロファイル属性       | データタイプ | OIDCまたはSAMLの同等の任意のクレーム |
| ----------------- | ------------------- | ------ | ---------------------- |
| businessPhones    | phone               | 配列     | -                      |
| givenName         | given\_name         | 文字列    | given\_name            |
| jobTitle          | job\_title          | 文字列    | -                      |
| mobilePhone       | mobile              | 文字列    | -                      |
| preferredLanguage | preferred\_language | 文字列    | xms\_pl                |
| surname           | family\_name        | 文字列    | family\_name           |
| userPrincipalName | upn                 | 文字列    | upn                    |

### グループの設定

[Microsoft Graph APIにクエリを実行する権限を有効](https://auth0.com/docs/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2#add-permissions)にした場合、Auth0は、ユーザーのグループを自動的に取得し、これらをAuth0プロファイルの`groups`属性にマッピングします。Auth0は、これらのグループの「フレンドリー名」をマッピングし、これらのグループはMicrosoft Graph APIから直接マッピングしているため、カスタムクレームの構成を必要としません。

## SAML

SAML接続タイプは、SAMLプロトコルを使用し、属性マッピングとすべての標準SAML機能をサポートします。

### 接続の機能および考慮事項

SAML接続タイプは、任意のクレームと[フェデレーションログアウト](https://docs.microsoft.com/en-us/azure/active-directory/develop/single-sign-out-saml-protocol)をサポートするため、利用できる接続タイプの中で最も柔軟性があります。これらの機能の両方が必要な場合は、SAMLが両方を同時にサポートする唯一の接続になります。

### グループの設定

SAML接続タイプでAuth0がグループ情報を受け入れるには、SAML応答の任意の属性でEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルの`group_ids`属性にグループをマッピングします。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、[Microsoftのドキュメンテーション](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-group-claims)
</Callout>

## エンタープライズOIDC

エンタープライズOpen ID接続タイプは、OAuth暗黙か認可コードワークフローを使用します。この接続タイプは、`id_token`のカスタムクレームをAuth0ユーザープロファイルにマッピングします。認証フローの詳細については、[認証フローと認可フロー](/docs/ja-jp/get-started/authentication-and-authorization-flow)ドキュメントをご覧ください。

### 接続の機能および考慮事項

規制またはプライバシープロトコルの理由から、ログインフローにクライアントシークレットを提供できない場合は、OIDC接続が提供する暗黙的フローが望ましいメソッドかもしれません。カスタムクレームを必要とするものの、追加のＳＡＭＬ機能を構成したくない場合は、OIDC接続が複雑さを軽減します。

### グループの設定

OIDC接続タイプでAuth0がグループ情報を受け入れるには、要求の`id_token` に `groups`を追加するために、任意のクレームでEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルの`group_ids`属性にグループをマッピングします。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、[Microsoftのドキュメンテーション](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-group-claims)
</Callout>

## もっと詳しく

* [Microsoft Entra IDにアプリを接続する](/docs/ja-jp/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2)
