> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Azure ADの接続タイプを選択する

> Azureの接続タイプと機能について説明します。

3つの方法で、Auth0インスタンスをMicrosoft Entra IDに接続できます。ご自分の状況に最適なアプローチを見極めるためにオプションをよく調べてください。

Auth0は、ネイティブのMicrosoft Entra ID接続から始めることを勧めています。さらにカスタマイズが必要な場合は、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-1" href="/docs/ja-JP/ja-jp/glossary?term=security-assertion-markup-language" tip="Security Assertion Markup Language（SAML）: パスワードなしに二者間で認証情報を交換できる標準化プロトコル。" cta="用語集の表示">SAML</Tooltip>接続の構成を参照してください。また、あなたの組織が<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=oath2" tip="OAuth 2.0: 認可プロトコルとワークフローを定義する認可フレームワーク。" cta="用語集の表示">OAuth</Tooltip>コードフローを追加的に制限している場合は、Enterprise OIDCの構成を参照してください。

以下の表は、これらの接続タイプの主な違いについて説明しています。あなたの組織にとって最適な接続を見極めるために、これらの機能をよく確認してください。

<table class="table">
  <thead>
    <tr>
      <th>接続タイプ</th>
      <th>「ネイティブ」のAzure AD</th>
      <th>エンタープライズOIDC</th>
      <th>SAML</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td><b>プロトコル</b></td>
      <td>OAuthの認可コードフロー</td>
      <td>OAuthの暗黙フローまたはOAuthの認可コードフロー</td>
      <td>SAML</td>
    </tr>

    <tr>
      <td><b>Azure ADから任意のクレームを受け取ることができるか?</b></td>
      <td>できない</td>
      <td>できる</td>
      <td>できる</td>
    </tr>

    <tr>
      <td><b>フェデレーションログアウト対応（「シングルログアウト」またはSLO）</b></td>
      <td>対応</td>
      <td>非対応</td>
      <td>対応</td>
    </tr>

    <tr>
      <td><b>ADグループの受信</b></td>
      <td>受信する、フレンドリ名</td>
      <td>受信する、オブジェクトID</td>
      <td>受信しない、オブジェクトID</td>
    </tr>

    <tr>
      <td><b>拡張プロファイルの受信</b></td>
      <td>受信する</td>
      <td>受信しない</td>
      <td>受信しない</td>
    </tr>
  </tbody>
</table>

<div id="microsoft-azure-ad">
  ## Microsoft Entra ID
</div>

1つ目の接続タイプは、[［Auth0 Dashboard］>［Authentication（認証）］>［Enterprise（エンタープライズ）］](https://manage.auth0.com/dashboard/#/connections/enterprise)の **Microsoft Entra ID** 接続です。

この接続タイプは、OAuth認可コードフローを使用します。Microsoft Entra ID接続は、`id_token`からのクレームを受け入れ、Microsoft Graph APIに直接クエリを実行します。構成されたら、クエリは、グループと追加のプロファイル情報を検索します。Microsoft Entra IDは、`id_token`を含む、カスタムクレームを無視します。

<div id="connection-features-and-considerations">
  ### 接続の機能および考慮事項
</div>

この接続タイプはネイティブワークフローであるため、拡張AD機能と明確な互換性があります。Entra ID接続は、プロファイル属性をMicrosoft Graph APIのAuth0ユーザープロファイルに直接マッピングします。

拡張プロファイルオプションは、他の接続タイプでは利用できない3つの属性を提供します。拡張プロファイル機能を使用するには、[Microsoft Graph APIにクエリを実行する権限を有効](https://auth0.com/docs/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2#add-permissions)にする必要があります。以下の表では、接続タイプにおけるEntra ID Graph属性を比較しています。

<table class="table">
  <thead>
    <tr>
      <th>グラフ属性</th>
      <th>Auth0プロファイル属性</th>
      <th>データタイプ</th>
      <th>OIDCまたはSAMLの同等の任意のクレーム</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>businessPhones</td>
      <td>phone</td>
      <td>配列</td>
      <td>-</td>
    </tr>

    <tr>
      <td>givenName</td>
      <td>given\_name</td>
      <td>文字列</td>
      <td>given\_name</td>
    </tr>

    <tr>
      <td>jobTitle</td>
      <td>job\_title</td>
      <td>文字列</td>
      <td>-</td>
    </tr>

    <tr>
      <td>mobilePhone</td>
      <td>mobile</td>
      <td>文字列</td>
      <td>-</td>
    </tr>

    <tr>
      <td>preferredLanguage</td>
      <td>preferred\_language</td>
      <td>文字列</td>
      <td>xms\_pl</td>
    </tr>

    <tr>
      <td>surname</td>
      <td>family\_name</td>
      <td>文字列</td>
      <td>family\_name</td>
    </tr>

    <tr>
      <td>userPrincipalName</td>
      <td>upn</td>
      <td>文字列</td>
      <td>upn</td>
    </tr>
  </tbody>
</table>

<div id="group-configuration">
  ### グループの設定
</div>

[Microsoft Graph APIにクエリを実行する権限を有効](https://auth0.com/docs/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2#add-permissions)にした場合、Auth0は、ユーザーのグループを自動的に取得し、これらをAuth0プロファイルの`groups`属性にマッピングします。Auth0は、これらのグループの「フレンドリー名」をマッピングし、これらのグループはMicrosoft Graph APIから直接マッピングしているため、カスタムクレームの構成を必要としません。

<div id="saml">
  ## SAML
</div>

SAML接続タイプは、SAMLプロトコルを使用し、属性マッピングとすべての標準SAML機能をサポートします。

<div id="connection-features-and-considerations">
  ### 接続の機能および考慮事項
</div>

SAML接続タイプは、任意のクレームと[フェデレーションログアウト](https://docs.microsoft.com/en-us/azure/active-directory/develop/single-sign-out-saml-protocol)をサポートするため、利用できる接続タイプの中で最も柔軟性があります。これらの機能の両方が必要な場合は、SAMLが両方を同時にサポートする唯一の接続になります。

<div id="group-configuration">
  ### グループの設定
</div>

SAML接続タイプでAuth0がグループ情報を受け入れるには、SAML応答の任意の属性でEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルの`group_ids`属性にグループをマッピングします。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、[Microsoftのドキュメンテーション](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-group-claims)
</Callout>

<div id="enterprise-oidc">
  ## エンタープライズOIDC
</div>

エンタープライズOpen ID接続タイプは、OAuth暗黙か認可コードワークフローを使用します。この接続タイプは、`id_token`のカスタムクレームをAuth0ユーザープロファイルにマッピングします。認証フローの詳細については、[認証フローと認可フロー](/docs/ja-JP/ja-jp/get-started/authentication-and-authorization-flow)ドキュメントをご覧ください。

<div id="connection-features-and-considerations">
  ### 接続の機能および考慮事項
</div>

規制またはプライバシープロトコルの理由から、ログインフローにクライアントシークレットを提供できない場合は、OIDC接続が提供する暗黙的フローが望ましいメソッドかもしれません。カスタムクレームを必要とするものの、追加のＳＡＭＬ機能を構成したくない場合は、OIDC接続が複雑さを軽減します。

<div id="group-configuration">
  ### グループの設定
</div>

OIDC接続タイプでAuth0がグループ情報を受け入れるには、要求の`id_token` に `groups`を追加するために、任意のクレームでEntra IDを構成する必要があります。その後、Auth0はユーザーのAuth0プロファイルの`group_ids`属性にグループをマッピングします。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  SAMLとOIDCの接続タイプは、グループに対してフレンドリー名ではなくオブジェクト識別子を使用します。オンプレミスADからグループをインポートした場合は、SAML応答にフレンドリー名を含めることができます。グループクレームの詳細については、[Microsoftのドキュメンテーション](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-group-claims)
</Callout>

<div id="learn-more">
  ## もっと詳しく
</div>

* [Microsoft Entra IDにアプリを接続する](/docs/ja-JP/ja-jp/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2)
