プロファイル管理は、組織ベースのシナリオでも一般的に他のアーキテクチャのシナリオと同じです。アーキテクチャのシナリオでは、B2Bプロファイル管理に関する一般的なガイダンスを提供しています。ここに記載のガイダンスと共に参照することをお勧めします。
アプリケーションが関連する特定のユーザー属性一式(たとえば、ユーザーの環境設定や、顧客により良いサービスを提供するために使う身元情報など)を保持し、属性に対してある種のセルフサービス管理機能をユーザーに提供することができます。それに追加または代替で、IDプロバイダー()が通常管理している属性に対し、プロファイルのセルフサービス管理を提供することもできます。
ベストプラクティスOrganization関連のシナリオでは、必ずメールアドレスを検証する必要があります。そのため、セルフサービスのメールアドレス検証機能を提供することで、別の検証方法がない状況に対応する必要があります。詳細については、「メールアドレス検証」を参照してください。 データベース接続
Auth0では、Auth0 を使って、プロファイルのセルフサービス管理のサポートを実装できるようにしています。Auth0 Organizationsを使用して招待ベースのユーザープロビジョニングを提供している場合には、IDプロバイダー(IdP)であるAuth0テナントが通常所有しているフィールドに対して、変更を制約しなければならない可能性があります。たとえば、メールアドレスへの変更を制約して、ユーザーが招待の宛先以外のメールアドレスを使用できないようにします。メールアドレスフィールドへの変更を制約すると、企業特有のメールが個人のメールアドレスに入力されることを防ぎます。
別の方法として、Auth0のデータベース接続で認証するユーザーにセルフサービス項目をいくつか提供することができます。ユーザーが以下を行えるようにします。
セルフサービス機能は、一般にAuth0の外部で実装し、ホストする必要があります。また、高い安全性が求められます。
エンタープライズ接続
アップストリームのIDプロバイダー(IdP)は通常、IdPが管理するユーザープロファイル属性を処理するため、このユースケースではプロファイル管理はほぼ存在しません。ただし、アプリケーション特有のユーザー属性を使用している場合には、セルフサービス機能を提供することもできます。
また、Auth0テナントでユーザーのプロビジョニングの解除手段を組織に提供する必要があるかもしれません。Auth0のセッションが有効期限切れである場合を除き、Auth0はアップストリームのIdPとは通信しません。ほとんどのシナリオではSSOセッションの有効期限が長すぎるため、ユーザーが削除された場合に組織管理者がユーザーを個別にブロックまたは削除できる方法が必要になります。
ソーシャル接続
ソーシャル接続の場合、プロファイル管理のパターンはエンタープライズ接続と類似していますが、アップストリームのIdPは特定の組織ではなく、ソーシャルプロバイダーに関連付けられます。
状況によっては、顧客にアクセスを提供して、顧客の組織に関連付けられたユーザーアカウントを管理できるようにしたいことがあります。特にヘルプデスク関連のシナリオでは、担当者がユーザーに代わってプロファイル情報を更新したり、ユーザーアカウントのブロックを解除したりなどの場合にはアクセスが必要になります。
Auth0は、Auth0テナントの一般管理にそのままで便利に使えるを提供しています。ただし、顧客からはAuth0テナントのDashboardにアクセスできないようにしておきます。そうしないと、すべての組織のユーザー全員を管理できる能力を与えることになり、これは望ましいことではありません。
Auth0 Tenant Dashboardでは、ユーザーアカウントを管理できますが、組織レベルの分離はできません。顧客にAuth0 Dashboardへのアクセス権を与えると、全組織のユーザーを変更できるようになるため、望ましくありません。Auth0 Delegated Adminダッシュボードを、Auth0 Organizationに応じてユーザーアカウントを管理するように構成することは可能ですが、ユーザーのメンバーシップや招待を管理するのに使用することはできません。 
