PingFederateサーバーをAuth0に接続する

Auth0では、PingFederateサーバー接続を作成することができます。

前提条件

始める前に以下を行います。

Auth0にアプリケーションを登録します。
- 適切な［Application Type（アプリケーションタイプ）］を選択します。
- {https://yourApp/callback}の［Allowed Callback URL（許可されているコールバックURL）］を追加します。
- アプリケーションの［Grant Types（付与タイプ）］に適切なフローが必ず含まれていることを確認してください。

ステップ

お使いのサーバーが標準的な方法で構成されている限り、PingFederateサーバーをAuth0に接続するには、次の手順を実行する必要があります。

IdPから署名証明書を入手し、Base64に変換する。
Auth0でエンタープライズ接続を作成する。
Auth0アプリケーションでエンタープライズ接続を有効にする。
接続をテストする。

サーバーに追加のセットアップ（属性マッピングなど）が必要な場合は、代わりに新しいSAMLエンタープライズ接続を作成しなければなりません。

IdPから署名証明書を入手する

PingFederateサーバーでは、Auth0はサービスプロバイダーとして機能するため、 IdPから署名されたX.509証明書（PEMまたはCER形式）を取得する必要があります。これは後でAuth0にアップロードします。この証明書を取得する方法はいろいろあるので、サーバーの証明書の管理方法については、PingFederateのドキュメントを参照してください。

署名証明書をBase64に変換する

X.509証明書をAuth0にアップロードする前に、ファイルをBase64に変換する必要があります。これを行うには、シンプルなオンラインツールを使用するか、Bashで以下のコマンドを実行します：cat signing-cert.crt | base64。

Auth0でエンタープライズ接続を作成する

次に、お使いのサーバーが標準的な方法で構成されている場合は、Auth0でPingFederateのエンタープライズ接続を作成・構成してから、署名されたX.509証明書をアップロードする必要があります。この作業には、Auth0 Dashboardを使用することができます。

サーバーに追加のセットアップ（属性マッピングなど）が必要な場合は、代わりに新しいSAMLエンタープライズ接続を作成しなければなりません。

［Auth0 Dashboard］>［Authentication（認証）］>［Enterprise（エンタープライズ）］に移動し、［Ping Federate］を見つけ、その+を選択します。

接続の詳細を入力し、 ［Create（作成）］をクリックします。

フィールド	説明
Connection name（接続名）	接続の論理的な識別子で、テナントで一意である必要があります。この名前は一度設定すると変更できません。
PingFederate Server URL（PingFederateサーバーURL）	PingFederateサーバーのURLです。
X.509 Signing Certificate（X.509署名証明書）	このプロセスで以前にIdPから取得したPingFederateサーバーの公開鍵（PEMまたはCERでエンコード）です。
Sign Request（署名要求）	有効にすると、SAML認証要求が署名されます（テナントの証明書をダウンロードしてPingFederateサーバーに必ず提供します）。
Sign Request Algorithm（署名要求アルゴリズム）	Auth0がSAMLアサーションの署名に使用するアルゴリズムです。これがPingFederateサーバーの構成と一致していることを確認してください。
Sign Request Digest Algorithm（署名要求ダイジェストアルゴリズム）	Auth0が署名要求ダイジェストに使用するアルゴリズムです。これがPingFederateサーバーの構成と一致していることを確認してください。
Sync user profile attributes at each login（毎回のログインでユーザープロファイル属性を同期する）	有効にすると、Auth0はユーザーがログインする度にユーザープロファイルデータを自動的に同期します。これにより、接続のソースで加えられた変更内容がAuth0でも自動的に反映されます。

［Login Experience（ログインエクスペリエンス）］ビューでこの接続でのユーザーログインの方法を構成することができます。

フィールド	説明
ホームレルムディスカバリー	ユーザーのメールドメインを、指定されたIDプロバイダードメインと比較します。詳細については、[識別子優先認証の構成]を参照してください。（https://auth0.com/docs/ja-jp/authenticate/login/auth0-universal-login/identifier-first）
接続ボタンを表示	このオプションでは、アプリケーションの接続ボタンをカスタマイズするため次の選択肢が表示されます。
Button display name（ボタン表示名）（オプション）	ユニバーサルログインのログインボタンをカスタマイズするために使用されるテキスト。設定されるとボタンは以下を読み取ります："Continue with {Button display name}"
Button logo（ボタンロゴ）URL （任意）	ユニバーサルログインのログインボタンをカスタマイズするために使用される画像のURL。設定されると、ユニバーサルログインのログインボタンは、20px×20pxの四角で画像を表示します。

任意のフィールドは、New Universal Loginでのみ使用することができます。Classic Loginを使用している場合、［Add（追加）］ボタン、ボタンの表示名、ボタンロゴのURLは表示されません。

Auth0アプリケーションでエンタープライズ接続を有効化する

新たなPingFederateエンタープライズ接続を使うには、まずAuth0アプリケーションの接続を有効化する必要があります。

接続をテストする

これで接続をテストする準備が整いました。

認証