> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

> User Attribute Profile を使用して、セルフサービス エクスペリエンスを通じて SCIM プロビジョニング用のユーザーを設定する方法を学びます。

# ユーザー属性プロファイル

<Warning>
  Self-Service SSO を使用した User Attribute Profile は、現在 B2B Professional および B2B Enterprise のお客様向けに早期アクセス段階にあります。この機能を使用すると、Okta の [Master Subscription Agreement](https://www.okta.com/legal/) に定められた該当の無償トライアル規約に同意したものとみなされます。Auth0 のリリース段階について詳しくは、[Product Release Stages](/docs/ja-JP/troubleshoot/product-lifecycle/product-release-stages) を参照してください。
</Warning>

User Attribute Profile (UAP) は、[SCIM](/docs/ja-JP/authenticate/protocols/scim)、[SAML](/docs/ja-JP/authenticate/protocols/saml)、[OIDC](/docs/ja-JP/authenticate/login/oidc-conformant-authentication) などのプロトコル間で、ユーザー属性を定義、管理、およびマッピングするための一貫した方法を提供します。[Self-Service SSO](/docs/ja-JP/authenticate/enterprise-connections/self-service-SSO) と組み合わせた UAP により、管理者はユーザー属性を定義し、そのプロファイルを認証プロトコル全体に適用することで、ユーザーのアイデンティティ データをより高度に制御できます。

<div id="how-it-works">
  ## 仕組み
</div>

* **プロファイル定義**<p />
  管理者は User Attribute Profile を作成し、次のような属性を定義します:
  * 属性の表示方法
  * 属性を必須にする方法
  * 属性を Auth0 および外部のアイデンティティシステムにどのようにマッピングするか

* **柔軟なスコープ**<p />
  プロファイルはセルフサービスの SSO フローにリンクされますが、プロビジョニング、オンボーディング、権限管理向けに設計されています。

* **統合マッピングレイヤー**<p />
  各属性は認証プロトコル間でのマッピングをサポートし、Okta や Entra ID など、特定のプロバイダーや接続方式ごとに値を上書きできるオプションを提供します。

## 属性マッピングとオーバーライド<p />

UAP は、プロバイダー固有の要件に対応するため、複数プロトコルに対応した属性定義と戦略のオーバーライドをサポートします。

**属性マッピング**

| **Protocol**  | **Description**                                                                                                                                                                              |
| ------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Auth0 Mapping | Auth0 に保存される正規化された属性（`email`、`name`、`app_metadata.department`）。                                                                                                                              |
| OIDC Mapping  | OpenID Connect (OIDC) の標準クレーム（`sub`、`preferred_username`、`zoneinfo`）。OIDC の標準クレームの詳細については、[Standard Claims](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims) を参照してください。 |
| SAML Mapping  | 1 つ以上のアサーション URI をサポートします（`http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`）。                                                                                             |
| SCIM Mapping  | プロビジョニング属性（`name.familyName`、`addresses[type eq "work"].country`）。                                                                                                                           |

**戦略のオーバーライド**

一部のプロバイダーは標準とは異なるマッピングを使用します。UAP では次のようなオーバーライドが可能です。

| **Protocol**    | **Description**                                                    |
| --------------- | ------------------------------------------------------------------ |
| SAML            | `externalId` の代わりに userName をマッピングします。                             |
| WAAD (Entra ID) | `oid` を OIDC の識別子として使用します。                                         |
| Okta            | `middleNam`e や `federated_groups` などの属性を、Okta 固有のクレームを使ってマッピングします。 |

<div id="user-id">
  ### ユーザー ID
</div>

`user_id` プロパティは、OIDC クレーム、SAML 属性、または SCIM 属性を Auth0 ユーザー ID にマッピングする方法を定義します。すべての Auth0 ユーザーには ID が必要なため、このマッピングは必須です。

* OIDC の場合、選択肢は固定されています (通常は `sub`、Azure AD の場合は `oid`、Google の場合は `email` など)。
  * SAML および SCIM の場合、マッピングはより柔軟で、複数の候補となる属性を指定できます。

<div id="user-attributes">
  ### ユーザー属性
</div>

`user_attributes` プロパティには、IdP から受信したクレームをシステムが解釈し、Auth0 ユーザープロファイルの属性として保存できるようにするマッピング情報が含まれます。

各属性はキーと値のペアとして指定する必要があります。

* キーは属性名に対応します。
  * 値は次のプロパティを持つオブジェクトです。
    * `label`
    * `description`
    * `profile_required`
    * `auth0_mapping`
    * `saml_mapping`
    * `scim_mapping`
    * `oidc_mapping` は次のプロパティを持つオブジェクトです
      * `mapping` は IdP から受信するクレームを表します（リテラル値、動的コンテキストオブジェクト、または `${variable}` 構文を使用して両方を組み合わせたもの。 [context object](/docs/ja-JP/authenticate/identity-providers/enterprise-identity-providers/configure-pkce-claim-mapping-for-oidc#context-object) をサポートします）
      * `display_name` はセルフサービスフローでエンドユーザーに表示されるラベルです

<div id="strategy-overrides">
  ### ストラテジーのオーバーライド
</div>

`strategy_overrides` プロパティを使用すると、個々のアイデンティティ プロバイダー (IdP) 向けの例外を指定できます。これは、すべての IdP が同じ識別子やクレームを公開しているとは限らないためです。

各オーバーライドでは、`user_id` や `user_attributes` で定義されたデフォルトを置き換えるプロトコル固有のマッピングを定義します。

<div id="examples">
  ## 例
</div>

<div id="user-identifier">
  ### ユーザー識別子
</div>

```json theme={null}
"user_id": {
  "oidc_mapping": "sub",
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ],
  "scim_mapping": "externalId",
  "strategy_overrides": {
    "waad": {
      "oidc_mapping": "oid"
    },
    "samlp": {
      "scim_mapping": "userName"
    },
    "google-apps": {
      "oidc_mapping": "email"
    }
  }
},
```

* **デフォルトの識別子**: SCIM の `externalId`。
* **SAML**: 複数の識別子 URI をサポート。
* **OIDC**: `sub` を使用。
* **オーバーライド**: SAML と WAAD でマッピングをカスタマイズ。

<div id="email-attribute">
  ### メールアドレス属性
</div>

```json theme={null}
"email": {
  "description": "メール",
  "label": "メール",
  "profile_required": true,
  "auth0_mapping": "email",
  "scim_mapping": "emails[primary eq true].value",
  "oidc_mapping": {
    "mapping": "${context.tokenset.email}",
    "display_name": "email"
  },
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ],
  "strategy_overrides": {
    "waad": {
      "scim_mapping": "emails[type eq \"work\"].value"
    }
  }
}
```

* ほとんどのプロファイルで推奨される設定です。
* Auth0、OpenID Connect (OIDC)、SAML、SCIM 全体で統一されています。
* WAAD のオーバーライド機能により、業務用メールアドレスへのマッピングが正しく行われます。

<div id="create-a-user-attribute-profile">
  ## ユーザー属性プロファイルを作成する
</div>

Self-Service SSO を利用して、Auth0 Dashboard または Management API から UAP を定義できます。現在は、Self-Service SSO のフローを通じてのみ設定できます。

<div id="configure-with-auth0-dashboard">
  ### Auth0 Dashboard で設定する
</div>

1. [**Authentication > Enterprise > Self-Service SSO**](http://manage.auth0.com/*/connections/enterprise/self-service-profiles) に移動します。
2. **+Create Profile** を選択します。
3. 新しいプロファイルの **Name** と、必要に応じて **Description** を入力します。
4. 既存のプロファイルを選択するか **+Create New** を選択して、User Attribute Profile エントリを追加します。
   * 新しいプロファイルの場合は、**User Profile Attribute Name** を入力します。
   * マッピングを確認し、プロファイル属性が目的の Auth0 属性にマッピングされていることを確認します。
5. **Create** を選択します。

新しい UAP は SSO の設定に使用できるようになりました。

<div id="configure-with-management-api">
  ### Management API での設定
</div>

ユーザー属性プロファイルを管理するには、次の [Management API](https://auth0.com/docs/api/management/v2/introduction) エンドポイントを使用できます。

* `POST` `/api/v2/user-attribute-profiles`
* `GET` `/api/v2/user-attribute-profiles`
* `PATCH` `/api/v2/user-attribute-profiles/{id}`
* `GET` `/api/v2/user-attribute-profiles/{id}`
* `GET` `/api/v2/user-attribute-profiles/templates`
* `GET` `/api/v2/user-attribute-profiles/templates/{id}`

<div id="learn-more">
  ## 詳細情報
</div>

* [セルフサービス SSO](/docs/ja-JP/authenticate/enterprise-connections/self-service-SSO)
* [OIDC 接続の PKCE とクレームマッピングを構成する](/docs/ja-JP/authenticate/identity-providers/enterprise-identity-providers/configure-pkce-claim-mapping-for-oidc)
* [Auth0 を IdP（アイデンティティプロバイダー）/SAML アドオンとして使用する場合の SAML 属性マッピング](/docs/ja-JP/authenticate/protocols/saml/saml-configuration/saml-attribute-mapping-examples)
* [AD/LDAP のプロファイル属性を Auth0 ユーザー プロファイルにマッピングする](/docs/ja-JP/authenticate/protocols/saml/saml-configuration/saml-attribute-mapping-examples)
