ログイン方法

概要

Auth-Share では、組織ごとに分かれた URL からログインします。
基本の導線は auth-share.com/{組織slug} 配下で、ログイン画面やパスワード再設定、二要素認証画面も同じ組織 slug を含む URL で提供されます。

トップページのログイン導線では、組織 slug を入力して対象組織のログイン画面へ移動します。

ログイン方式は、組織が social login を利用しているかどうかで大きく分かれます。

social login なしの組織
- メールアドレスとパスワードでログインします
- 必要に応じて二要素認証を行います
social login ありの組織
- 管理ユーザー・社内ユーザーは外部 IdP による認証でログインします
- 外部ユーザーはメールアドレス、パスワード、必要に応じて二要素認証でログインできます

social login を利用しない組織では、メールアドレスとパスワードでログインします。
認証時には組織 ID を含めて照合するため、同じメールアドレスが別組織に存在していても、その組織のユーザーとしてのみ認証されます。

social login を利用する組織では、管理ユーザー・社内ユーザーと外部ユーザーでログイン方法が異なります。

管理ユーザー・社内ユーザーは、組織で設定された外部 IdP による認証へ進みます。
ログイン画面ではメールアドレスを確認した後、外部認証画面へリダイレクトされます。

外部認証で得られた情報をもとに、Auth-Share 側のユーザーレコードを解決または新規作成します。
Auth-Share 側に存在しなくても、外部 IdP 側に存在するユーザーであれば、ログイン時に社内ユーザーとして追加されることがあります。

外部ユーザーは、social login を利用しない組織と同様に、メールアドレスとパスワードでログインできます。
必要に応じて二要素認証も行います。

social login が有効で、特に Auth0 を利用している組織では、ログイン画面にアクセスした時点で外部認証画面へ直接移動する構成があります。

また、social login を利用する組織では、管理ユーザー・社内ユーザーの名前やメールアドレスは外部 IdP の情報に依存します。
そのため、Auth-Share 側で自由に変更するのではなく、外部認証プロバイダー側の情報との整合を保つ運用になります。

Auth-Share では、次の場合に再認証が必要になることがあります。

これにより、ログイン状態が長く残りすぎることによるリスクを抑えています。

ログアウトは組織ごとのログアウト URL から行います。

Auth0 を利用している組織では、Auth-Share 側のセッション終了後に Auth0 側のログアウト URL へ遷移する構成です。