Azure ADの接続タイプを選択する

3つの方法で、Auth0インスタンスをMicrosoft Entra IDに接続できます。ご自分の状況に最適なアプローチを見極めるためにオプションをよく調べてください。 Auth0は、ネイティブのMicrosoft Entra ID接続から始めることを勧めています。さらにカスタマイズが必要な場合は、接続の構成を参照してください。また、あなたの組織がコードフローを追加的に制限している場合は、Enterprise OIDCの構成を参照してください。以下の表は、これらの接続タイプの主な違いについて説明しています。あなたの組織にとって最適な接続を見極めるために、これらの機能をよく確認してください。

接続タイプ	「ネイティブ」のAzure AD	エンタープライズOIDC	SAML
プロトコル	OAuthの認可コードフロー	OAuthの暗黙フローまたはOAuthの認可コードフロー	SAML
Azure ADから任意のクレームを受け取ることができるか?	できない	できる	できる
フェデレーションログアウト対応（「シングルログアウト」またはSLO）	対応	非対応	対応
ADグループの受信	受信する、フレンドリ名	受信する、オブジェクトID	受信しない、オブジェクトID
拡張プロファイルの受信	受信する	受信しない	受信しない

Microsoft Entra ID

1つ目の接続タイプは、［Auth0 Dashboard］>［Authentication（認証）］>［Enterprise（エンタープライズ）］の Microsoft Entra ID 接続です。この接続タイプは、OAuth認可コードフローを使用します。Microsoft Entra ID接続は、id_tokenからのクレームを受け入れ、Microsoft Graph APIに直接クエリを実行します。構成されたら、クエリは、グループと追加のプロファイル情報を検索します。Microsoft Entra IDは、id_tokenを含む、カスタムクレームを無視します。

接続の機能および考慮事項

この接続タイプはネイティブワークフローであるため、拡張AD機能と明確な互換性があります。Entra ID接続は、プロファイル属性をMicrosoft Graph APIのAuth0ユーザープロファイルに直接マッピングします。拡張プロファイルオプションは、他の接続タイプでは利用できない3つの属性を提供します。拡張プロファイル機能を使用するには、Microsoft Graph APIにクエリを実行する権限を有効にする必要があります。以下の表では、接続タイプにおけるEntra ID Graph属性を比較しています。

グラフ属性	Auth0プロファイル属性	データタイプ	OIDCまたはSAMLの同等の任意のクレーム
businessPhones	phone	配列	-
givenName	given_name	文字列	given_name
jobTitle	job_title	文字列	-
mobilePhone	mobile	文字列	-
preferredLanguage	preferred_language	文字列	xms_pl
surname	family_name	文字列	family_name
userPrincipalName	upn	文字列	upn

グループの設定

Microsoft Graph APIにクエリを実行する権限を有効にした場合、Auth0は、ユーザーのグループを自動的に取得し、これらをAuth0プロファイルのgroups属性にマッピングします。Auth0は、これらのグループの「フレンドリー名」をマッピングし、これらのグループはMicrosoft Graph APIから直接マッピングしているため、カスタムクレームの構成を必要としません。

SAML

SAML接続タイプは、SAMLプロトコルを使用し、属性マッピングとすべての標準SAML機能をサポートします。

接続の機能および考慮事項

SAML接続タイプは、任意のクレームとフェデレーションログアウトをサポートするため、利用できる接続タイプの中で最も柔軟性があります。これらの機能の両方が必要な場合は、SAMLが両方を同時にサポートする唯一の接続になります。

グループの設定

SAML接続タイプでAuth0がグループ情報を受け入れるには、SAML応答の任意の属性でEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルのgroup_ids属性にグループをマッピングします。

SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、Microsoftのドキュメンテーション

エンタープライズOIDC

エンタープライズOpen ID接続タイプは、OAuth暗黙か認可コードワークフローを使用します。この接続タイプは、id_tokenのカスタムクレームをAuth0ユーザープロファイルにマッピングします。認証フローの詳細については、認証フローと認可フロードキュメントをご覧ください。

接続の機能および考慮事項

規制またはプライバシープロトコルの理由から、ログインフローにクライアントシークレットを提供できない場合は、OIDC接続が提供する暗黙的フローが望ましいメソッドかもしれません。カスタムクレームを必要とするものの、追加のＳＡＭＬ機能を構成したくない場合は、OIDC接続が複雑さを軽減します。

グループの設定

OIDC接続タイプでAuth0がグループ情報を受け入れるには、要求のid_token に groupsを追加するために、任意のクレームでEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルのgroup_ids属性にグループをマッピングします。

もっと詳しく

Microsoft Entra IDにアプリを接続する

ログインを追加する

ユーザーのプロビジョニング

Azure ADの接続タイプを選択する

Microsoft Entra ID

接続の機能および考慮事項

グループの設定

SAML

接続の機能および考慮事項

グループの設定

エンタープライズOIDC

接続の機能および考慮事項

グループの設定

もっと詳しく

ログインを追加する

ユーザーのプロビジョニング

​Microsoft Entra ID

​接続の機能および考慮事項

​グループの設定

​SAML

​接続の機能および考慮事項

​グループの設定

​エンタープライズOIDC

​接続の機能および考慮事項

​グループの設定

​もっと詳しく

Microsoft Entra ID

接続の機能および考慮事項

グループの設定

SAML

接続の機能および考慮事項

グループの設定

エンタープライズOIDC

接続の機能および考慮事項

グループの設定

もっと詳しく