> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Auth0 Dashboardのシングルサインオンを構成する

> Auth0 Dashboardに対するシングルサインオン（SSO）の構成方法について説明します。

<Card title="Before you start">
  * エンタープライズプランに加入します。詳細については、「[サブスクリプションを管理する](https://auth0.com/docs/troubleshoot/customer-support/manage-subscriptions)」をお読みください。
  * パブリッククラウドとプライベートクラウドのどちらを使用しているのか確認します。これらの手順ついて、プライベートクラウド関連の前提条件は「[プライベートクラウドをデプロイする](https://auth0.com/docs/deploy-monitor/deploy-private-cloud)」を参照してください。
</Card>

Auth0を構成し、[テナントメンバー](/docs/ja-jp/get-started/manage-dashboard-access)に自身の[エンタープライズIDプロバイダー](/docs/ja-jp/authenticate/identity-providers/enterprise-identity-providers)（<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-2" href="/docs/ja-jp/glossary?term=idp" tip="IDプロバイダー（IdP）: デジタルIDを保存および管理するサービス。" cta="用語集の表示">IdP</Tooltip>）を使用して、シングルサインオン（<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=single-sign-on" tip="シングルサインオン（SSO）: ユーザーが1つのアプリケーションにログインした後、そのユーザーを他のアプリケーションに自動的にログインさせるサービス。" cta="用語集の表示">SSO</Tooltip>）を通じて<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=auth0-dashboard" tip="Auth0 Dashboard: サービスを構成するためのAuth0の主製品。" cta="用語集の表示">Auth0 Dashboard</Tooltip>に認証できるように構成できます。

## 仕組み

DashboardのSSOを構成するには、Auth0サポートと連携し、ルートテナント権限（RTA）にエンタープライズ接続を追加する必要があります。これにより、テナントメンバーがDashboardにログインする際に利用可能な認証方法が管理されます。

このSSO接続を追加することは、テナントメンバーが既存の認証方法（メール/パスワード、[LinkedIn](https://marketplace.auth0.com/integrations/linkedin-social-connection)、[Microsoft](https://marketplace.auth0.com/integrations/microsoft-account-social-connection)、[GitHub](https://marketplace.auth0.com/integrations/github-social-connection)、または[Google](https://marketplace.auth0.com/integrations/google-social-connection)）を使用してログインすることを制限しません。

DashboardのSSOを構成することで、すべての公開Auth0サイトを有効にします。例：

* Auth0 Webサイト（[https://auth0.com](https://auth0.com)）
* Auth0コミュニティ（[https://community.auth0.com](https://community.auth0.com)）
* Auth0のドキュメント（[https://www.auth0.com/docs](https://www.auth0.com/docs)）
* Auth0サポートセンター（[https://support.auth0.com](https://support.auth0.com)）

### ユーザーエクスペリエンス

認可済みユーザーがDashboardのログインに移動すると、Auth0のユニバーサルログインページに登録済みドメインのメールアドレス（例：`user@example.com`）を入力します。その後、IdPにリダイレクトされ、認証が完了します。

### 制限事項

DashboardのSSOの構成を決定する前に、制限について考慮してください。

* SSOは特定のテナントに制限されません。
* SSOはIdP起点認証フローをサポートしません。
* Auth0 <Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=management-api" tip="Management API: 顧客が管理タスクを実行できるようにするための製品。" cta="用語集の表示">Management API</Tooltip>を使用した、テナントメンバーの招待状は、自動化または大量送信ができません。
* テナントメンバーアクセスは、IdPのグループメンバーシップによって管理できません。
* <Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=multifactor-authentication" tip="多要素認証（MFA）: ユーザー名とパスワードに加えて、SMS経由のコードなどの要素を使用するユーザー認証プロセス。" cta="用語集の表示">MFA</Tooltip>はテナントのすべてのメンバーに強制することはできません。

### 考慮事項

#### Dashboardへの完全なディレクトリアクセス

テナントメンバーがログインできるようにIdPを利用可能な接続として追加すると、IdPのディレクトリの全ユーザーはDashboardにアクセスできるようになります。しかし、特定のテナントに招待されたテナントメンバーのみが、そのテナントにアクセスできます。

招待されていないユーザーがDashboardでテナントにアクセスしようとすると、システムがその操作を拒否します。ユーザーがどのテナントにも属していない場合は、システムがユーザーに[ユーザープロファイルの完成](#complete-user-profiling)と新しいトライアルテナントの作成を求めます。新たに作成されたトライアルテナントは、エンタープライズプランには関連付けられません。

#### 残存テナントメンバーのID

新しい接続で作成されたものとは異なるIDを使用して、Dashboardのテナントにテナントメンバーが招待された場合（アクセスも持つ場合）、依然として技術的にそのIDを使用してテナントにアクセスできます。

古いIDを削除するか、潜在的な代替の認証方法として保持するか決めなければなりません。

## Dashboardに対するSSOを構成する

Dashboardに対するSSOを構成するには、お客様とAuth0サポートの間で共有された一連の手順が必要です。

### IdPの構成データを共有する

[Auth0サポートを使用してチケットを開く](/docs/ja-jp/troubleshoot/customer-support/open-and-manage-support-tickets)ことで、IdPの構成データを共有することができ、そうすることでSSO構成をセットアップすることができます。チケットを提出する際に以下の情報を含めてください。

* SSO構成に関連付けたいメールドメイン
* IdPの名前
* 認証プロトコル
* IdP固有の追加情報

使用したいIdPと認証プロトコルに応じて、追加の構成手順が必要です。

#### ADFS（SAML）

1. 次のプロパティで[証明書利用者の信頼を作成](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/create-a-relying-party-trust#to-create-a-claims-aware-relying-party-trust-manually)します：

   | プロパティ         | 値                                          |
   | ------------- | ------------------------------------------ |
   | エンティティID      | `urn:auth0:auth0:{assignedConnectionName}` |
   | コールバックエンドポイント | `https://auth0.auth0.com/login/callback`   |
2. 以下の各クレームに対する[クレームの説明を追加](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/add-a-claim-description)します：

   | クレーム                   | クレーム識別子                                                                | 値                                          |
   | ---------------------- | ---------------------------------------------------------------------- | ------------------------------------------ |
   | Name Identifier（名前識別子） | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | `E-Mail-Addresses`または`User-Principal-Name` |
   | Email Address（メールアドレス） | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | 該当なし                                       |
   | Name（名前）               | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | 該当なし                                       |
3. SAML 2.0エンドポイントを有効にします。
4. Auth0サポートに以下の情報を提供します：

   * ログインエンドポイント（例：`https://{yourServer}/adfs/ls`）
   * 署名証明書、またはSAMLメタデータXMLファイル

#### Azure ID（OIDC）

1. [新しいアプリ登録を作成](https://learn.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app)します。
2. Webに\*\*［Redirect URI（リダイレクトURI）］\*\*タイプを設定し、`https://auth0.auth0.com/login/callback`に値を入力します。
3. \*\*［Register（登録）］\*\*を選択します。
4. IDトークンの[暗黙的付与を有効化](https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-implicit-grant-flow#send-the-sign-in-request)します。
5. IDトークンに[メールクレームを追加](https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims)します。
6. Auth0サポートに以下の情報を提供します：

   * アプリケーション（クライアント）ID
   * OIDCメタデータエンドポイント（例：`https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuration`）。

#### Azure ID（SAML）

1. [新しいエンタープライズアプリケーションを作成します](https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/add-application-portal)。
2. 以下のプロパティで[SAMLのシングルサインオン](https://learn.microsoft.com/en-us/azure/active-directory/develop/single-sign-on-saml-protocol)をセットアップします（Auth0サポートがSSO接続名を提供するまでプレースホルダー値を使用する必要があるかもしれません）。

   | プロパティ         | 値                                                                    |
   | ------------- | -------------------------------------------------------------------- |
   | 識別子（エンティティID） | `urn:auth0:auth0:{assignedConnectionName}`                           |
   | 返信（ACS）URL    | `https://auth0.auth0.com/login/callback`                             |
   | サインオンURL      | `https://manage.auth0.com/login?connection={assignedConnectionName}` |
3. \*\*［Attributes & Claims（属性とクレーム）］\*\*セクションでは、`email`、`Unique User Identifier`、`name -` （任意）を含む項目をAzureの推奨設定のまま変更しないでください。
4. Auth0サポートにSAMLメタデータXMLデータを提供します。次のいずれかを実行できます：

   * アプリのフェデレーションメタデータURLを共有します（例：`https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}`）。
   * フェデレーションメタデータXMLドキュメントをダウンロードし、チケットに添付します。

#### Google（SAML）

Auth0は、Google <Tooltip data-tooltip-id="react-containers-DefinitionTooltip-1" href="/docs/ja-jp/glossary?term=security-assertion-markup-language" tip="Security Assertion Markup Language（SAML）: パスワードなしに二者間で認証情報を交換できる標準化プロトコル。" cta="用語集の表示">SAML</Tooltip> IdPでDashboardのSSO構成をサポートしますが、既存のGoogle認証方法でユーザーをログインにダイレクトすることを推奨しています。

ユーザーがGoogle SAML IdPにログインする場合、わかりにくいですが、Auth0は、そのために新しいユーザーIDを作成します（既存のGoogleユーザーIDとは別）。

Google SAML IdPでDashboardのSSOをセットアップしたい場合、「[ジェネリックIdP（SAML）](#generic-idp-saml)」をお読みください。

#### Okta（SAML）

1. 以下のプロパティでSAMLアプリケーションを作成します（Auth0サポートがSSO接続名を提供できるまで、プレースホルダー値を使う必要があるかもしれません）。

   | プロパティ                  | 値                                          |
   | ---------------------- | ------------------------------------------ |
   | エンティティID               | `urn:auth0:auth0:{assignedConnectionName}` |
   | コールバックエンドポイント（ACS URL） | `https://auth0.auth0.com/login/callback`   |
2. \*\*［Name Identifier（名前ID）］\*\*を設定し、ユーザーのメールアドレスを送ります。
3. Auth0サポートにSAMLメタデータXMLデータを提供します。次のいずれかを実行できます：

   * SAMLメタデータXMLURLを共有します：

     1. \*\*［SAML Signing Certificates（SAML署名証明書）］\*\*セクションまで移動します。
     2. \*\*［Actions］\*\*メニューを選択します。
     3. \*\*［View IdP metadata（IdPメタデータを表示する）］**を選択し、その後、**［Copy Link Address（リンクアドレスをコピーする）］\*\*を選択します。それはこの形式になります：`https://{org}.okta.com/app/{appId}/sso/saml/metadata`。
   * SAMLメタデータXMLファイルをダウンロードし、チケットに添付します。

##### IdP起点認証フロー

DashboardのSSOは、IdP起点認証フローをサポートしません。ユーザーがDashboardにログインする際にチクレットを選択できるようにするには、次の手順が必要です。

1. SAMLアプリがユーザーに表示されないようにします。
2. `https://manage.auth0.com/login?connection={assignedConnectionName}`を指す[ブックマークアプリを作成](https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Bookmark_App.htm)します。これはユーザーがログインを選択できるようになるアプリケーションです。

SAMLアプリケーションとブックマークアプリの両方を、同じユーザーのセットに対して有効にし、アプリケーションを使用できるようにしてください。

#### OneLogin（SAML）

1. 以下のプロパティでSAMLのテストコネクター（SP）を作成します（Auth0サポートがSSO接続名を提供できるようになるまで、プレースホルダー値を使用する必要があるかもしれません）。

   | プロパティ                  | 値                                                                    |
   | ---------------------- | -------------------------------------------------------------------- |
   | エンティティID               | `urn:auth0:auth0:{assignedConnectionName}`                           |
   | コールバックエンドポイント（ACS URL） | `https://auth0.auth0.com/login/callback`                             |
   | ログインURL                | `https://manage.auth0.com/login?connection={assignedConnectionName}` |
2. Auth0サポートにSAMLメタデータXMLファイルを提供します。

#### ジェネリックIdP（OIDC）

1. 以下のプロパティを使用して、IdPでアプリケーションを登録します。

   | プロパティ        | 値                                        |
   | ------------ | ---------------------------------------- |
   | Callback URL | `https://auth0.auth0.com/login/callback` |
2. IDトークンに[メールクレームを追加](/docs/ja-jp/secure/tokens/json-web-tokens/create-custom-claims)します。
3. Auth0サポートに以下を提供します。

   * アプリケーション（クライアント）ID
   * 発行者URL、またはOIDCメタデータエンドポイント（例：`https://{idpDomain}/[...]/.well-known/openid-configuration`）

<Note>
  Auth0サポートは、可能であれば、[フォームPOSTを使った暗黙的モードフロー](/docs/ja-jp/get-started/authentication-and-authorization-flow/implicit-flow-with-form-post)を使用します。IdPがこれに対応していない場合は、IdPにアプリケーションのクライアントシークレットを提供する必要があります。
</Note>

#### ジェネリックIdP（SAML）

1. Auth0サポートは、SSO接続名を提供します。
2. 次のプロパティでSAMLアプリケーションを作成します。

   | プロパティ                            | 値                                          |
   | -------------------------------- | ------------------------------------------ |
   | Entity ID（エンティティID）              | `urn:auth0:auth0:{assignedConnectionName}` |
   | Callback endpoint（コールバックエンドポイント） | `https://auth0.auth0.com/login/callback`   |
3. SAMLアサーションに以下のクレームが含まれているようにしてください。

   | クレーム                   | クレーム識別子                                                                | 値                      |
   | ---------------------- | ---------------------------------------------------------------------- | ---------------------- |
   | Name Identifier（名前識別子） | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | `upn`または`emailaddress` |
   | Email Address（メールアドレス） | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | 該当なし                   |
   | Name（名前）               | `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | 該当なし                   |
4. Auth0サポートに次のいずれかを提供します。

   * サインインURLと署名証明書
   * SAMLメタデータXMLファイル

### SSO接続をセットアップする

Auth0サポートチームは、提供される構成データを使用して、SSO接続の初期設定を完了します。

初期設定時には、ホーム領域検出（Home Realm Discovery：HRD）は構成されていません。

### SSO接続をテストする

SSO接続の初期設定が完了したら、Auth0サポートチームがSSO接続をテストし、構成データが正しいかを確認します、そして、テナントメンバーが望む方法でSSO接続で認証できることを確認します。

Auth0サポートチームは、新しいSSO接続の認証を促すために使用できる直接ログインURLを提供します。例：

`https://manage.auth0.com/login?connection={assignedConnectionName}`

## Auth0 Teamsを使用してSSOを強制する

エンタープライズテナントでAuth0 Teamsを使用する場合、Teamsアカウントに属するテナントに対してSSO認証を強制できます。テナント登録と管理についての詳細は、「[Auth0 Teams](/docs/ja-jp/get-started/auth0-teams)」をお読みください。

1. 新しいブラウザーを開き、TeamsアカウントとIDを入力してください。`https://accounts.auth0.com/teams/{team-identifier}。`

   <Note>
     Teams識別子は、URLまたはTeamsの[**設定**](https://accounts.auth0.com/teams/#/settings)から取得できます。
   </Note>

2. \*\*［Security（セキュリティ）］\*\*ページに移動します。

3. \*\*［Enforce Single Sign On（シングルサインオンの強制）］\*\*を選択することで、[セキュリティポリシーを構成](/docs/ja-jp/get-started/auth0-teams/configure-security-policies)します。

### ホーム領域検出を有効にする（任意）

ユニバーサルログインまたはクラシックログインを使用している場合、HRDの有効化を要求できるため、ログインページはテナントメンバーが入力するメールアドレスのドメインを認識し、新しいSSO接続に誘導します。

#### HRDをいつ有効にするか

HRDが有効になっている場合、以前にメール/パスワードのIDを使用していた（構成されたHRDドメインと一致するメールを持つ）テナントメンバーは、ログインページからログインできなくなります。

この動作の変更に伴い、HRDを有効にする際は、現在のテナントメンバーの少なくとも一部が変更について認識していることを確認した上で、以下のいずれかを知っている必要があります。

* 新しいIDの下で、テナントへの参加招待状を受け取る
* 新しいIDで再招待をする必要がある

#### HRDをバイパスする方法

テナントメンバーがメール/パスワードIDでログインをする必要がある場合、ダイレクトログインURLを提供できます。

`https://manage.auth0.com/login?connection=auth0`

このURLはHRDをバイパスし、メール/パスワードIDでログインできるようにします。

#### HRDログイン動作の例

次に、テナントメンバーのリストの例を示します。

| テナント              | テナントメンバー            | 接続            | 影響は? |
| ----------------- | ------------------- | ------------- | ---- |
| `fabrikam@us`     | `user1@example.com` | メール/パスワード     | あり   |
| `fabrikam@us`     | `user1@gmail.com`   | google-oauth2 | なし   |
| `fabrikam@us`     | `user2@example.com` | github        | なし   |
| `fabrikam@us`     | `user3@acme.com`    | メール/パスワード     | なし   |
| `fabrikam@us`     | `user4@example.com` | メール/パスワード     | あり   |
| `fabrikam-dev@us` | `user5@example.com` | メール/パスワード     | あり   |
| `fabrikam-dev@us` | `user1@example.com` | メール/パスワード     | あり   |

example.comドメインを新しい接続に関連付けた場合、`user1@gmail.com`、`user2@example.com`、および`user3@acme.com`は、ソーシャルプロバイダー、または関連付けられていないドメインのメールアドレスを使用しているため、これまでと同様にログインできます。

一方で、`user1@example.com`、`user4@example.com`、および`user5@example.com`は、HRDに構成されたドメインに関連付けられたメールアドレスであるため、これまでのようにログインすることはできません。

## 既存のテナントメンバーを移行する

既存のテナントメンバーの移行プロセスは、HRDを有効にしたかどうかに依存します。

### HRDが無効の状態で移行する方法

HRDが無効の状態でテナントメンバーを移行するには、新しいSSO接続に対してダイレクトログインURLを共有する必要があります。

`https://manage.auth0.com/login?connection={assignedConnectionName}`

1. テナントメンバーに対して、[新しいテナントメンバー招待状を作成します](/docs/ja-jp/get-started/manage-dashboard-access/add-dashboard-users)。
2. テナントメンバーに以下を行うように指示します。

   1. 招待状を受け入れる前に、ダイレクトログインURLを使用することで、新しいSSO接続にログインします。これが新しいSSO接続への初めてのログインである場合、[ユーザープロファイリングを完了](#complete-user-profiling)する必要があるかもしれません。
   2. 招待メールに記載されている招待状URLを、新しいSSO接続でログインしたのと同じブラウザーにコピーして貼り付けます。ユーザーは\*\*［Create Account（アカウントの作成）］\*\*を選択しないでください。
   3. 招待状を受け入れます。
   4. ユーザーが別のテナントに招待されている場合は、このときにそれを使用できます。

### HRDを有効にした状態で移行する方法

HRDを有効にした状態でテナントメンバーを移行するには、[テナントメンバーの追加](/docs/ja-jp/get-started/manage-dashboard-access/add-dashboard-users)に類似した手順を追う必要があります。

1. テナントメンバーに対して、[新しいテナントメンバー招待状を作成します](/docs/ja-jp/get-started/manage-dashboard-access/add-dashboard-users)。
2. テナントメンバーに以下を行うように指示します。

   1. Dashboardからログアウします（以前に古いIDでログインしたことがある場合）。
   2. 受け取った招待メールにある招待状リンクを開きます。
   3. 新しい接続にログインします。
   4. 招待状を受け入れます。
