メインコンテンツへスキップ
Self-Service SSO を使用した User Attribute Profile は、現在 B2B Professional および B2B Enterprise のお客様向けに早期アクセス段階にあります。この機能を使用すると、Okta の Master Subscription Agreement に定められた該当の無償トライアル規約に同意したものとみなされます。Auth0 のリリース段階について詳しくは、Product Release Stages を参照してください。
User Attribute Profile (UAP) は、SCIMSAMLOIDC などのプロトコル間で、ユーザー属性を定義、管理、およびマッピングするための一貫した方法を提供します。Self-Service SSO と組み合わせた UAP により、管理者はユーザー属性を定義し、そのプロファイルを認証プロトコル全体に適用することで、ユーザーのアイデンティティ データをより高度に制御できます。

仕組み

  • プロファイル定義

    管理者は User Attribute Profile を作成し、次のような属性を定義します:
    • 属性の表示方法
    • 属性を必須にする方法
    • 属性を Auth0 および外部のアイデンティティシステムにどのようにマッピングするか
  • 柔軟なスコープ

    プロファイルはセルフサービスの SSO フローにリンクされますが、プロビジョニング、オンボーディング、権限管理向けに設計されています。
  • 統合マッピングレイヤー

    各属性は認証プロトコル間でのマッピングをサポートし、Okta や Entra ID など、特定のプロバイダーや接続方式ごとに値を上書きできるオプションを提供します。

属性マッピングとオーバーライド

UAP は、プロバイダー固有の要件に対応するため、複数プロトコルに対応した属性定義と戦略のオーバーライドをサポートします。 属性マッピング
ProtocolDescription
Auth0 MappingAuth0 に保存される正規化された属性(emailnameapp_metadata.department)。
OIDC MappingOpenID Connect (OIDC) の標準クレーム(subpreferred_usernamezoneinfo)。OIDC の標準クレームの詳細については、Standard Claims を参照してください。
SAML Mapping1 つ以上のアサーション URI をサポートします(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)。
SCIM Mappingプロビジョニング属性(name.familyNameaddresses[type eq "work"].country)。
戦略のオーバーライド 一部のプロバイダーは標準とは異なるマッピングを使用します。UAP では次のようなオーバーライドが可能です。
ProtocolDescription
SAMLexternalId の代わりに userName をマッピングします。
WAAD (Entra ID)oid を OIDC の識別子として使用します。
OktamiddleName や federated_groups などの属性を、Okta 固有のクレームを使ってマッピングします。

ユーザー ID

user_id プロパティは、OIDC クレーム、SAML 属性、または SCIM 属性を Auth0 ユーザー ID にマッピングする方法を定義します。すべての Auth0 ユーザーには ID が必要なため、このマッピングは必須です。
  • OIDC の場合、選択肢は固定されています (通常は sub、Azure AD の場合は oid、Google の場合は email など)。
    • SAML および SCIM の場合、マッピングはより柔軟で、複数の候補となる属性を指定できます。

ユーザー属性

user_attributes プロパティには、IdP から受信したクレームをシステムが解釈し、Auth0 ユーザープロファイルの属性として保存できるようにするマッピング情報が含まれます。 各属性はキーと値のペアとして指定する必要があります。
  • キーは属性名に対応します。
    • 値は次のプロパティを持つオブジェクトです。
      • label
      • description
      • profile_required
      • auth0_mapping
      • saml_mapping
      • scim_mapping
      • oidc_mapping は次のプロパティを持つオブジェクトです
        • mapping は IdP から受信するクレームを表します(リテラル値、動的コンテキストオブジェクト、または ${variable} 構文を使用して両方を組み合わせたもの。 context object をサポートします)
        • display_name はセルフサービスフローでエンドユーザーに表示されるラベルです

ストラテジーのオーバーライド

strategy_overrides プロパティを使用すると、個々のアイデンティティ プロバイダー (IdP) 向けの例外を指定できます。これは、すべての IdP が同じ識別子やクレームを公開しているとは限らないためです。 各オーバーライドでは、user_iduser_attributes で定義されたデフォルトを置き換えるプロトコル固有のマッピングを定義します。

ユーザー識別子

"user_id": {
  "oidc_mapping": "sub",
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ],
  "scim_mapping": "externalId",
  "strategy_overrides": {
    "waad": {
      "oidc_mapping": "oid"
    },
    "samlp": {
      "scim_mapping": "userName"
    },
    "google-apps": {
      "oidc_mapping": "email"
    }
  }
},
  • デフォルトの識別子: SCIM の externalId
  • SAML: 複数の識別子 URI をサポート。
  • OIDC: sub を使用。
  • オーバーライド: SAML と WAAD でマッピングをカスタマイズ。

メールアドレス属性

"email": {
  "description": "メール",
  "label": "メール",
  "profile_required": true,
  "auth0_mapping": "email",
  "scim_mapping": "emails[primary eq true].value",
  "oidc_mapping": {
    "mapping": "${context.tokenset.email}",
    "display_name": "email"
  },
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ],
  "strategy_overrides": {
    "waad": {
      "scim_mapping": "emails[type eq \"work\"].value"
    }
  }
}
  • ほとんどのプロファイルで推奨される設定です。
  • Auth0、OpenID Connect (OIDC)、SAML、SCIM 全体で統一されています。
  • WAAD のオーバーライド機能により、業務用メールアドレスへのマッピングが正しく行われます。

ユーザー属性プロファイルを作成する

Self-Service SSO を利用して、Auth0 Dashboard または Management API から UAP を定義できます。現在は、Self-Service SSO のフローを通じてのみ設定できます。

Auth0 Dashboard で設定する

  1. Authentication > Enterprise > Self-Service SSO に移動します。
  2. +Create Profile を選択します。
  3. 新しいプロファイルの Name と、必要に応じて Description を入力します。
  4. 既存のプロファイルを選択するか +Create New を選択して、User Attribute Profile エントリを追加します。
    • 新しいプロファイルの場合は、User Profile Attribute Name を入力します。
    • マッピングを確認し、プロファイル属性が目的の Auth0 属性にマッピングされていることを確認します。
  5. Create を選択します。
新しい UAP は SSO の設定に使用できるようになりました。

Management API での設定

ユーザー属性プロファイルを管理するには、次の Management API エンドポイントを使用できます。
  • POST /api/v2/user-attribute-profiles
  • GET /api/v2/user-attribute-profiles
  • PATCH /api/v2/user-attribute-profiles/{id}
  • GET /api/v2/user-attribute-profiles/{id}
  • GET /api/v2/user-attribute-profiles/templates
  • GET /api/v2/user-attribute-profiles/templates/{id}

詳細情報