マルチIDプロバイダー組織
マルチIDプロバイダー(IdP)組織のシナリオでは、Auth0組織機能を使用するすべての組織がAuth0接続を複数使用します。このシナリオの実装は、多くの点でシングルIDプロバイダー組織の実装と重なります。実際、Auth0組織機能は、この2種類の組織の組み合わせや、その間の移行をサポートしています。ただし、追加で考慮すべき項目がいくつかあります。
接続
認可の一部として通常含まれる情報に加え、ユーザーの第一要素認証が実行された特定のAuth0接続に関する詳細が含まれます。明示的に求められるわけではありませんが、そのような情報をIDトークンおよび/またはアクセストークンにカスタムクレームとして加えることで、アクセス制御に使用できる追加のコンテキストをアプリケーションおよび/またはAPIに提供することができます。
以下の例で示すように、カスタムクレームは通常、Ruleの拡張性を通じて追加され、contextオブジェクトを使用して接続の詳細にアクセスできます。
context.idToken['http://travel0.net/connection'] = context.connection; // Connection name claim
context.accessToken['http://travel0.net/connection'] = context.connection; // Connection name claimWas this helpful?
ルールのコンテキストオブジェクトは、ユーザーの第1認証に使用する接続のさまざまな要素(connection名、connectionID、connectionStrategyなど)を提供します。これは、ポリシーの一元管理に使用できる追加情報を提供することで、ルールの拡張性も高めます。
データベース接続
Auth0では複数のデータベース接続とカスタムデータベース接続をプロビジョンできますが、これらのタイプの接続を1つのAuth0組織に複数関連付けることは推奨されません。データベース接続とカスタムデータベース接続は現在、Identifier-First認証の重要なコンポーネントであるホーム領域検出をサポートしておらず、複数定義されると、ユニバーサルログインの新しいエクスペリエンスではその中から選択することができないためです。
ベストプラクティス
Auth0 Organizationでの使用に向けてカスタムデータベース接続を定義する際は、そのAuth0 Organizationに関連付けられているカスタムデータベース接続が常に1つであることを確認してください。
エンタープライズ接続
エンタープライズアプリケーションでエンタープライズフェデレーションを使用する場合、その認証プロファイルでホーム領域検出を使用したIdentifier-First認証を有効化することができます。有効化されると、ホーム領域検出は既知のドメインからのメールアドレスを検出し、自動的に適切なWorkforceログインに送ります。
詳細については、「組織のログインフロー」の「Identifier-First認証」セクションをお読みください。
ソーシャル接続
マルチIDプロバイダー組織のシナリオでソーシャル接続を使用する場合には、認証セクションに記載されている考慮事項以外に特に対処が必要な考慮事項はありません。