仕組み
-
プロファイル定義
管理者は User Attribute Profile を作成し、次のような属性を定義します:
- 属性の表示方法
- 属性を必須にする方法
- 属性を Auth0 および外部のアイデンティティシステムにどのようにマッピングするか
- 柔軟なスコープ プロファイルはセルフサービスの SSO フローにリンクされますが、プロビジョニング、オンボーディング、権限管理向けに設計されています。
- 統合マッピングレイヤー 各属性は認証プロトコル間でのマッピングをサポートし、Okta や Entra ID など、特定のプロバイダーや接続方式ごとに値を上書きできるオプションを提供します。
属性マッピングとオーバーライド
UAP は、プロバイダー固有の要件に対応するため、複数プロトコルに対応した属性定義と戦略のオーバーライドをサポートします。 属性マッピング| Protocol | Description |
|---|---|
| Auth0 Mapping | Auth0 に保存される正規化された属性(email、name、app_metadata.department)。 |
| OIDC Mapping | OpenID Connect (OIDC) の標準クレーム(sub、preferred_username、zoneinfo)。OIDC の標準クレームの詳細については、Standard Claims を参照してください。 |
| SAML Mapping | 1 つ以上のアサーション URI をサポートします(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)。 |
| SCIM Mapping | プロビジョニング属性(name.familyName、addresses[type eq "work"].country)。 |
| Protocol | Description |
|---|---|
| SAML | externalId の代わりに userName をマッピングします。 |
| WAAD (Entra ID) | oid を OIDC の識別子として使用します。 |
| Okta | middleName や federated_groups などの属性を、Okta 固有のクレームを使ってマッピングします。 |
ユーザー ID
user_id プロパティは、OIDC クレーム、SAML 属性、または SCIM 属性を Auth0 ユーザー ID にマッピングする方法を定義します。すべての Auth0 ユーザーには ID が必要なため、このマッピングは必須です。
- OIDC の場合、選択肢は固定されています (通常は
sub、Azure AD の場合はoid、Google の場合はemailなど)。- SAML および SCIM の場合、マッピングはより柔軟で、複数の候補となる属性を指定できます。
ユーザー属性
user_attributes プロパティには、IdP から受信したクレームをシステムが解釈し、Auth0 ユーザープロファイルの属性として保存できるようにするマッピング情報が含まれます。
各属性はキーと値のペアとして指定する必要があります。
- キーは属性名に対応します。
- 値は次のプロパティを持つオブジェクトです。
labeldescriptionprofile_requiredauth0_mappingsaml_mappingscim_mappingoidc_mappingは次のプロパティを持つオブジェクトですmappingは IdP から受信するクレームを表します(リテラル値、動的コンテキストオブジェクト、または${variable}構文を使用して両方を組み合わせたもの。 context object をサポートします)display_nameはセルフサービスフローでエンドユーザーに表示されるラベルです
- 値は次のプロパティを持つオブジェクトです。
ストラテジーのオーバーライド
strategy_overrides プロパティを使用すると、個々のアイデンティティ プロバイダー (IdP) 向けの例外を指定できます。これは、すべての IdP が同じ識別子やクレームを公開しているとは限らないためです。
各オーバーライドでは、user_id や user_attributes で定義されたデフォルトを置き換えるプロトコル固有のマッピングを定義します。
例
ユーザー識別子
- デフォルトの識別子: SCIM の
externalId。 - SAML: 複数の識別子 URI をサポート。
- OIDC:
subを使用。 - オーバーライド: SAML と WAAD でマッピングをカスタマイズ。
メールアドレス属性
- ほとんどのプロファイルで推奨される設定です。
- Auth0、OpenID Connect (OIDC)、SAML、SCIM 全体で統一されています。
- WAAD のオーバーライド機能により、業務用メールアドレスへのマッピングが正しく行われます。
ユーザー属性プロファイルを作成する
Auth0 Dashboard で設定する
- Authentication > Enterprise > Self-Service SSO に移動します。
- +Create Profile を選択します。
- 新しいプロファイルの Name と、必要に応じて Description を入力します。
- 既存のプロファイルを選択するか +Create New を選択して、User Attribute Profile エントリを追加します。
- 新しいプロファイルの場合は、User Profile Attribute Name を入力します。
- マッピングを確認し、プロファイル属性が目的の Auth0 属性にマッピングされていることを確認します。
- Create を選択します。
Management API での設定
POST/api/v2/user-attribute-profilesGET/api/v2/user-attribute-profilesPATCH/api/v2/user-attribute-profiles/{id}GET/api/v2/user-attribute-profiles/{id}GET/api/v2/user-attribute-profiles/templatesGET/api/v2/user-attribute-profiles/templates/{id}