メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0-feat-ionic-capacitor-quickstart-modernization.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

プロファイル管理は、組織ベースのシナリオでも一般的に他のアーキテクチャのシナリオと同じです。アーキテクチャのシナリオでは、B2Bプロファイル管理に関する一般的なガイダンスを提供しています。ここに記載のガイダンスと共に参照することをお勧めします。
ユーザーに関連付けられたロールを管理するには、Auth0にユーザーアカウントが存在しなければなりません。メンバーシップに関連付けられたAuth0 Organizationロール機能を使用している場合にも当てはまります。ただし、ユーザー招待ワークフローでプロビジョニングされるユーザーアカウントには、招待プロセスの一部として自動的にロールが割り当てられることがあります。詳細については、「組織メンバーを招待する」を参照してください。他のメカニズムを使用してユーザーを事前登録している場合は、初回認証時に、ロール情報をAuth0の外部に保存し、拡張性を使用して(たとえば、ルールの一環として)アクセス/コピーしなければなりません。
アプリケーションが関連する特定のユーザー属性一式(たとえば、ユーザーの環境設定や、顧客により良いサービスを提供するために使う身元情報など)を保持し、属性に対してある種のセルフサービス管理機能をユーザーに提供することができます。それに追加または代替で、IDプロバイダー()が通常管理している属性に対し、プロファイルのセルフサービス管理を提供することもできます。
ベストプラクティスOrganization関連のシナリオでは、必ずメールアドレスを検証する必要があります。そのため、セルフサービスのメールアドレス検証機能を提供することで、別の検証方法がない状況に対応する必要があります。詳細については、「メールアドレス検証」を参照してください。

データベース接続

Auth0では、Auth0 を使って、プロファイルのセルフサービス管理のサポートを実装できるようにしています。Auth0 Organizationsを使用して招待ベースのユーザープロビジョニングを提供している場合には、IDプロバイダー(IdP)であるAuth0テナントが通常所有しているフィールドに対して、変更を制約しなければならない可能性があります。たとえば、メールアドレスへの変更を制約して、ユーザーが招待の宛先以外のメールアドレスを使用できないようにします。メールアドレスフィールドへの変更を制約すると、企業特有のメールが個人のメールアドレスに入力されることを防ぎます。 別の方法として、Auth0のデータベース接続で認証するユーザーにセルフサービス項目をいくつか提供することができます。ユーザーが以下を行えるようにします。
セルフサービス機能は、一般にAuth0の外部で実装し、ホストする必要があります。また、高い安全性が求められます。

エンタープライズ接続

アップストリームのIDプロバイダー(IdP)は通常、IdPが管理するユーザープロファイル属性を処理するため、このユースケースではプロファイル管理はほぼ存在しません。ただし、アプリケーション特有のユーザー属性を使用している場合には、セルフサービス機能を提供することもできます。 また、Auth0テナントでユーザーのプロビジョニングの解除手段を組織に提供する必要があるかもしれません。Auth0のセッションが有効期限切れである場合を除き、Auth0はアップストリームのIdPとは通信しません。ほとんどのシナリオではSSOセッションの有効期限が長すぎるため、ユーザーが削除された場合に組織管理者がユーザーを個別にブロックまたは削除できる方法が必要になります。

ソーシャル接続

ソーシャル接続の場合、プロファイル管理のパターンはエンタープライズ接続と類似していますが、アップストリームのIdPは特定の組織ではなく、ソーシャルプロバイダーに関連付けられます。

管理

状況によっては、顧客にアクセスを提供して、顧客の組織に関連付けられたユーザーアカウントを管理できるようにしたいことがあります。特にヘルプデスク関連のシナリオでは、担当者がユーザーに代わってプロファイル情報を更新したり、ユーザーアカウントのブロックを解除したりなどの場合にはアクセスが必要になります。 Auth0は、Auth0テナントの一般管理にそのままで便利に使えるを提供しています。ただし、顧客からはAuth0テナントのDashboardにアクセスできないようにしておきます。そうしないと、すべての組織のユーザー全員を管理できる能力を与えることになり、これは望ましいことではありません。
Auth0 Tenant Dashboardでは、ユーザーアカウントを管理できますが、組織レベルの分離はできません。顧客にAuth0 Dashboardへのアクセス権を与えると、全組織のユーザーを変更できるようになるため、望ましくありません。Auth0 Delegated Adminダッシュボードを、Auth0 Organizationに応じてユーザーアカウントを管理するように構成することは可能ですが、ユーザーのメンバーシップ招待を管理するのに使用することはできません。
すでにヘルプデスクタイプの機能を顧客に提供している場合には、Auth0 Management APIを使ってAuth0にあるユーザーアカウントを管理することができます。たとえば、Management APIは組織メンバーの取得ユーザーが所属する組織の取得を行うのに使用できます。まだヘルプデスク機能を提供していない場合には、必要に応じてこの機能を構築する必要があります。