シングルIDプロバイダー：プロファイル管理

プロファイル管理は、組織ベースのシナリオでも一般的に他のアーキテクチャのシナリオと同じです。アーキテクチャのシナリオでは、B2Bプロファイル管理に関する一般的なガイダンスを提供しています。ここに記載のガイダンスと共に参照することをお勧めします。

アプリケーションが関連する特定のユーザー属性一式（たとえば、ユーザーの環境設定や、顧客により良いサービスを提供するために使う身元情報など）を保持し、属性に対してある種のセルフサービス管理機能をユーザーに提供することができます。それに追加または代替で、IDプロバイダー（IdP）が通常管理している属性に対し、プロファイルのセルフサービス管理を提供することもできます。

Auth0では、Auth0 Management APIを使って、プロファイルのセルフサービス管理のサポートを実装できるようにしています。Auth0 Organizationsを使用して招待ベースのユーザープロビジョニングを提供している場合には、IDプロバイダー（IdP）であるAuth0テナントが通常所有しているフィールドに対して、変更を制約しなければならない可能性があります。たとえば、メールアドレスへの変更を制約して、ユーザーが招待の宛先以外のメールアドレスを使用できないようにします。メールアドレスフィールドへの変更を制約すると、企業特有のメールが個人のメールアドレスに入力されることを防ぎます。

別の方法として、Auth0のデータベース接続で認証するユーザーにセルフサービス項目をいくつか提供することができます。ユーザーが以下を行えるようにします。

• メールアドレスを変更する

• 関連の電話番号を変更する

• ユーザー名を変更する

• 規制順守（GDPRなど）の一環として、アカウントのプロビジョニングを解除する

• パスワード変更処理を行う。一般的にパスワードリセットの実装をお勧めします。これには組織特定のブランディングを活用でき、詳細は「ブランディング：パスワードリセットページ</>」に記載されています。

アップストリームのIDプロバイダー（IdP）は通常、IdPが管理するユーザープロファイル属性を処理するため、このユースケースではプロファイル管理はほぼ存在しません。ただし、アプリケーション特有のユーザー属性を使用している場合には、セルフサービス機能を提供することもできます。

また、Auth0テナントでユーザーのプロビジョニングの解除手段を組織に提供する必要があるかもしれません。Auth0のSSOセッションが有効期限切れである場合を除き、Auth0はアップストリームのIdPとは通信しません。ほとんどのシナリオではSSOセッションの有効期限が長すぎるため、ユーザーが削除された場合に組織管理者がユーザーを個別にブロックまたは削除できる方法が必要になります。

ソーシャル接続の場合、プロファイル管理のパターンはエンタープライズ接続と類似していますが、アップストリームのIdPは特定の組織ではなく、ソーシャルプロバイダーに関連付けられます。

状況によっては、顧客にアクセスを提供して、顧客の組織に関連付けられたユーザーアカウントを管理できるようにしたいことがあります。特にヘルプデスク関連のシナリオでは、担当者がユーザーに代わってプロファイル情報を更新したり、ユーザーアカウントのブロックを解除したりなどの場合にはアクセスが必要になります。

Auth0は、Auth0テナントの一般管理にそのままで便利に使えるAuth0 Dashboardを提供しています。ただし、顧客からはAuth0テナントのDashboardにアクセスできないようにしておきます。そうしないと、すべての組織のユーザー全員を管理できる能力を与えることになり、これは望ましいことではありません。

すでにヘルプデスクタイプの機能を顧客に提供している場合には、Auth0 Management APIを使ってAuth0にあるユーザーアカウントを管理することができます。たとえば、Management APIは組織メンバーの取得やユーザーが所属する組織の取得を行うのに使用できます。まだヘルプデスク機能を提供していない場合には、必要に応じてこの機能を構築する必要があります。