新しいEntra ID接続のインバウンドSCIM

Before you start

Auth0テナントは必ず、Microsoft Entra IDの接続タイプを使ってEntra IDに接続するようにしてください。

この統合では2つのアプリケーションをEntra IDで登録する必要があり、それらはOpenID Connect統合とSCIM統合になります。顧客のセットアッププロセスを効率よくするために、Microsoft Entra IDのアプリギャラリーでアプリの公開を検討してください。

Auth0は、Microsoft Entra ID接続タイプでMicrosoft Entra ID(旧Microsoft Azure Active Directory)と統合可能で、ユーザー認証にはOpenID Connect(OIDC)プロトコルを使用します。これらの手順は新しいEntra ID接続向けのものです。ペアワイズユーザー識別子(sub)を使用する古い接続については、「古い接続」を参照してください。

Auth0でSCIM設定を構成する

  1. Auth0 Dashboardを起動し、[Authentication(認証)]>[Enterprise(エンタープライズ)]>[Microsoft Entra ID]> [あなたの接続] >[Settings(設定)]に移動します。

  2. [User ID Attribute Type(ユーザーID属性タイプ)][User Object Identifier (oid)(ユーザーオブジェクト識別子(oid))]に設定され、[Use Common Endpoint(共通のエンドポイントの使用)][Disabled(無効)]になっていることを確認します。

  3. [Provisioning(プロビジョニング)]タブを選択し、ログイン時に追加の属性を同期する場合を除き、[Sync user profile attributes at each login(ログインの度にユーザープロファイル属性を同期する)]を無効にします。

  4. 同じセクションで、[Sync user profiles using SCIM(SCIMを使用してユーザープロファイルを同期する)]を有効にします。

  5. [Mapping(マッピング)]タブで、[SCIM attribute containing the User ID(ユーザーIDを含むSCIM属性)][externalId]に設定されていることを確認します。

  6. [Additional Mappings(追加のマッピング)]で、拡張されたSCIM属性が任意のAuth0属性にマッピングされていることを確認します。詳しくは、「属性マッピング」をご覧ください。

SCIMエンドポイントURLとトークンを取得する

このセクションではAuth0 Dashboardを使用しますが、これらの手順はManagement APIでも管理することができます。ベストプラクティスについては、「導入のガイドライン」セクションをご覧ください。

  1. Auth0 DashboardでSCIMの[Setup(セットアップ)]タブに移動し、[SCIM Endpoint URL(SCIMエンドポイントURL)]をコピーして、安全な場所に貼り付けます。

  2. [Generate New Token(新しいトークンの生成)]をクリックしてSCIMトークンを生成し、希望する場合はトークンの有効期限を設定します。

  3. 許可したいスコープを選択します。Entra IDが要求するデフォルトのスコープは、get:userspost:userspatch:users、そしてdelete:usersです。

OIDCアプリ用のSCIMをEntra IDで構成する

  1. Azureポータルにある[Microsoft Entra ID]>[App registrations(アプリ登録)]セクションで、ユーザー認証を処理できるようにOpenID Connectアプリケーションがすでに登録されていることを確認します。

  2. [Microsoft Entra ID]>[Enterprise applications(エンタープライズアプリケーション)]> [あなたのoidcアプリ] >[Manage(管理)]>[Properties(プロパティ)]セクションで、OpenID Connectアプリケーションの[Assignment Required(割り当てを要求する)][Yes(はい)]に設定されていること、また[Users and Groups(ユーザーとグループ)]タブにユーザーが割り当てられていることを確認します。

  3. 次に、Azureポータルで新しい[Non-gallery(非ギャラリー)]アプリケーションを登録します。[Microsoft Entra ID]>[Enterprise applications(エンタープライズアプリケーション)]>[New application(新しいアプリケーション)]>[Create your own application(独自のアプリケーションを作成する)]に移動して、アプリケーション名を入力してから、[Create(作成)]を選択します。

  4. [Users and Groups(ユーザーとグループ)]タブに移動し、登録済みのOpenID Connectアプリに割り当てられているものと同じEntra IDのユーザーとグループを割り当てます。

  5. [Provisioning(プロビジョニング)]タブを選択し、[Get started(はじめる)]を選択します。そして、[Provisioning Mode(プロビジョニングモード)][Automatic(自動)]を選択します。

  6. [Admin Credentials(管理者の資格情報)]を選択し、先ほど保存した[SCIM Endpoint URL(SCIMエンドポイントURL)]値を[Tenant URL(テナントURL)]に入力します。URLの最後に、?aadOptscim062020クエリパラメーターを追加し、こちらで説明されている既知のEntra IDの問題を修正

  7. [Secret Token(シークレットトークン)]フィールドにトークン値を貼り付け、[Save(保存)]

  8. [Mappings(マッピング)]に移動し、[Provision Microsoft Entra ID Users(Microsoft Entra IDユーザーのプロビジョニング)]を選択します。その後、[Attribute Mappings(属性マッピング)]に移動し、externalIdmailNicknameを含む行の属性を編集します。

  9. [Edit Attribute(属性の編集)]画面から、[Source attribute(ソース属性)]objectIdに変更し、[OK]を選択します。

  10. [Attribute Mappings(属性マッピング)]に戻り、emails[type eq "work"].value and mailを含む行を選択します。

  11. [Edit Attribute(属性の編集)]画面から、[Match object usng this attribute(この属性を使用してオブジェクトを一致させる)][Yes(はい)]に、[Matching precedence(一致の優先順位)][2]に設定して、[OK]を選択します。属性マッピング画面はこのように表示され、SCIM属性を追加で構成するために属性マッピングセクションを使用し続けます:

SAML Azure Attribute Mapping

属性マッピングを[Save(保存)]し、右上にある[X]を選択すると、[Provisioning(プロビジョニング)]画面に戻ります。

テスト

  1. エンタープライズアプリケーションの概要画面で、[Manage(管理)]>[Provisioning(プロビジョニング)]から、[Provision on Demand(オンデマンドプロビジョニング)]を選択します。

  2. [Select a user or group(ユーザーまたはグループを選択)]に移動し、アプリケーションに割り当てたユーザーの名前を入力します。その後、ユーザーを選択し、[Provision(プロビジョニング)]を選択します。これにより、ユーザーがAuth0テナントで作成されます。

  3. 説明に従い[Provisioning Status(プロビジョニングステータス)][On(オン)]に設定することで、すべてのユーザーをプロビジョニングします。