リスクと検討事項
OpenID ConnectのIdP起点フロー
ポストバックURL
ユーザーがこの方法でログインするためには、Organizationに対して接続が有効化されていなければなりません。また、有効な接続でauto-membershipが構成されているか、ユーザーがそのOrganizationのメンバーでなければなりません。
Lock/Auth0.js
webAuth.parseHashを更新し、フラグ __enableIdPInitiatedLoginをtrueに設定する必要があります。
const lock = new Auth0Lock(clientID, domain, options)
フラグ自体は次のとおりです:
var options = { _enableIdPInitiatedLogin: true };
enableIdPInitiatedLoginフラグの前に、Lockで使用する場合は1つのアンダースコア、auth0.jsライブラリーで使用する場合は2つのアンダースコアがそれぞれ付くことに注意してください。
IDP起点SSOをセットアップする
- [Dashboard]>[Authentication(認証)]>[Enterprise(エンタープライズ)]の順に移動し、 [SAMLP Identity Provider(SAMLP IDプロバイダー)] を選択します。
-
[Settings(設定)] で、IdP起点SSOの構成を確認できます。
- IdP-initiated SSO Behavior(IdP起点SSOの動作) :このオプションを使用すると、SAML接続に対してIdP起点のログインを有効にすることができます。 [Accept Requests(要求を受け入れる)] を選択し、すべての必須フィールドに値を入力します。
- Default Application(デフォルトのアプリケーション) :IdP起点のログインが成功すると、これがユーザーをルーティングするアプリケーションとなります。この設定には、この接続で有効になっている利用可能なアプリケーションが表示されます。IdP起点でユーザーにログインさせるアプリケーションをドロップダウンから選択します。1つのSAML接続につき、IdP起点のログインに対して選択できるアプリケーションは1つだけです。
-
Response Protocol(応答プロトコル) :これは、選択した デフォルトのアプリケーション の接続に使用するプロトコルです。通常、アプリケーションはOpenID Connectプロトコルを使って構成されます(上記を参照)。ただし、アプリケーションにSAML2 Webアプリアドオンを構成しており、SAMLアサーションをルーティングしたい場合は、SAMLを選択する必要があります。有効なSAMLアサーションがポストバックURLに渡されると、Auth0は、選択された応答プロトコルを使用して、構成されたデフォルトのアプリケーションの最初に許可されたコールバックURLにログイン応答を送信します。OIDCを使用する場合、クエリ文字列フィールドを使用してこのプロトコルを変更し、
redirect_uriを指定することができます。 -
Query String(クエリ文字列) :クエリ文字列のオプションは、OpenID Connectプロトコルが使用されるときの動作をカスタマイズするのに役立ちます。クエリ文字列を使用して、パラメーターの設定に類似した複数のオプションを設定することができます。以下のように設定できます。
クエリ文字列の例:設定 説明 redirect_uriIdP起点のログインが完了したら、要求がアプリケーションの__Allowed Callback URLs(許可されているCallback URL)__にリスト表示されている最初のURLにリダイレクトされます。ただし、 redirect_uriを設定している場合、IdPはこのURLにリダイレクトします。これにより、ワイルドカードを使用する設定されたサブドメインスキームがあり、ある特定のサブドメインのみにリダイレクトしたい場合などのケースに柔軟性を追加します。scope送信されたIDトークンのスコープを定義します。複数のスコープを設定できます。 response_typeSPAの暗黙付与フローのトークンを設定します。通常のWebアプリに対して認証コード付与フローのコードを設定できます。 redirect_uri=https://jwt.io&scope=openid email&response_type=token