マルチテナンシーを使用した認証
このドキュメントでは、マルチテナント Identity Platform 環境でユーザーを認証する方法を説明します。
始める前に
プロジェクトでマルチテナンシーを有効にして、テナントを構成していることを確認してください。その方法については、マルチテナンシーのスタートガイドをご覧ください。
また、Client SDK をアプリに追加する必要もあります。
Google Cloud コンソールで Identity Platform ページに移動します。
Identity Platform ユーザーページに移動右上の [アプリケーション設定の詳細] をクリックします。
コードをウェブアプリにコピーします。たとえば、次のようなものです。
Web バージョン 9
import { initializeApp } from "firebase/app";
const firebaseConfig = {
apiKey: "...",
// By default, authDomain is '[YOUR_APP].firebaseapp.com'.
// You may replace it with a custom domain.
authDomain: '[YOUR_CUSTOM_DOMAIN]'
};
const firebaseApp = initializeApp(firebaseConfig);
Web バージョン 8
firebase.initializeApp({
apiKey: '...',
// By default, authDomain is '[YOUR_APP].firebaseapp.com'.
// You may replace it with a custom domain.
authDomain: '[YOUR_CUSTOM_DOMAIN]'
});
テナントでのログイン
テナントにログインするには、テナント ID を auth オブジェクトに渡す必要があります。tenantId はページの再読み込み時に保持されないことに注意してください。
Web バージョン 9
import { getAuth } from "firebase/auth";
const auth = getAuth();
const tenantId = "TENANT_ID1";
auth.tenantId = tenantId;
Web バージョン 8
const tenantId = "TENANT_ID1"; firebase.auth().tenantId = tenantId;
テナント ID を変更またはリセットするまで、この auth インスタンスからのすべてのログイン リクエストには、テナント ID(上記の例では TENANT_ID1)が含まれます。
単一または複数の auth インスタンスを使用して、複数のテナントを操作できます。
1 つの auth インスタンスを使用するには、テナント間の切り替え時にはいつでも tenantId プロパティを変更します。プロジェクト レベルの IdP に戻すには、tenantId を null に設定します。
Web バージョン 9
// One Auth instance // Switch to tenant1 auth.tenantId = "TENANT_ID1"; // Switch to tenant2 auth.tenantId = "TENANT_ID2"; // Switch back to project level IdPs auth.tenantId = null;
Web バージョン 8
// One Auth instance // Switch to tenant1 firebase.auth().tenantId = "TENANT_ID1"; // Switch to tenant2 firebase.auth().tenantId = "TENANT_ID2"; // Switch back to project level IdPs firebase.auth().tenantId = null;
複数のインスタンスを使用するには、テナントごとに新しい auth インスタンスを作成し、異なる ID にインスタンスを割り当てます。
Web バージョン 9
// Multiple Auth instances
import { initializeApp } from "firebase/app";
import { getAuth } from "firebase/auth";
const firebaseApp1 = initializeApp(firebaseConfig1, 'app1_for_tenantId1');
const firebaseApp2 = initializeApp(firebaseConfig2, 'app2_for_tenantId2');
const auth1 = getAuth(firebaseApp1);
const auth2 = getAuth(firebaseApp2);
auth1.tenantId = "TENANT_ID1";
auth2.tenantId = "TENANT_ID2";
Web バージョン 8
// Multiple Auth instances
firebase.initializeApp(config, 'app1_for_tenantId1');
firebase.initializeApp(config, 'app2_for_tenantId2');
const auth1 = firebase.app('app1').auth();
const auth2 = firebase.app('app2').auth();
auth1.tenantId = "TENANT_ID1";
auth2.tenantId = "TENANT_ID2";
テナントでログインすると、テナント ユーザーはそのテナントに設定された user.tenantId で返されます。auth インスタンスで tenantId を後で切り替えても、currentUser プロパティは変更されず、前のテナントと同じユーザーを指すことに注意してください。
Web バージョン 9
import { signInWithEmailAndPassword, onAuthStateChanged } from "firebase/auth";
// Switch to TENANT_ID1
auth.tenantId = 'TENANT_ID1';
// Sign in with tenant
signInWithEmailAndPassword(auth, email, password)
.then((userCredential) => {
// User is signed in.
const user = userCredential.user;
// user.tenantId is set to 'TENANT_ID1'.
// Switch to 'TENANT_ID2'.
auth.tenantId = 'TENANT_ID2';
// auth.currentUser still points to the user.
// auth.currentUser.tenantId is 'TENANT_ID1'.
});
// You could also get the current user from Auth state observer.
onAuthStateChanged(auth, (user) => {
if (user) {
// User is signed in.
// user.tenantId is set to 'TENANT_ID1'.
} else {
// No user is signed in.
}
});
Web バージョン 8
// Switch to TENANT_ID1
firebase.auth().tenantId = 'TENANT_ID1';
// Sign in with tenant
firebase.auth().signInWithEmailAndPassword(email, password)
.then((result) => {
const user = result.user;
// user.tenantId is set to 'TENANT_ID1'.
// Switch to 'TENANT_ID2'.
firebase.auth().tenantId = 'TENANT_ID2';
// firebase.auth().currentUser still point to the user.
// firebase.auth().currentUser.tenantId is 'TENANT_ID1'.
});
// You could also get the current user from Auth state observer.
firebase.auth().onAuthStateChanged((user) => {
if (user) {
// User is signed in.
// user.tenantId is set to 'TENANT_ID1'.
} else {
// No user is signed in.
}
});
メール / パスワードのアカウント
次の例は、新しいユーザーを登録する方法を示しています。
Web バージョン 9
import { createUserWithEmailAndPassword } from "firebase/auth";
auth.tenantId = 'TENANT_ID';
createUserWithEmailAndPassword(auth, email, password)
.then((userCredential) => {
// User is signed in.
// userCredential.user.tenantId is 'TENANT_ID'.
}).catch((error) => {
// Handle / display error.
// ...
});
Web バージョン 8
firebase.auth().tenantId = 'TENANT_ID';
firebase.auth().createUserWithEmailAndPassword(email, password)
.then((result) => {
// result.user.tenantId is 'TENANT_ID'.
}).catch((error) => {
// Handle error.
});
既存のユーザーにログインするには:
Web バージョン 9
import { signInWithEmailAndPassword } from "firebase/auth";
auth.tenantId = 'TENANT_ID';
signInWithEmailAndPassword(auth, email, password)
.then((userCredential) => {
// User is signed in.
// userCredential.user.tenantId is 'TENANT_ID'.
}).catch((error) => {
// Handle / display error.
// ...
});
Web バージョン 8
firebase.auth().tenantId = 'TENANT_ID';
firebase.auth().signInWithEmailAndPassword(email, password)
.then((result) => {
// result.user.tenantId is 'TENANT_ID'.
}).catch((error) => {
// Handle error.
});
SAML
SAML プロバイダでログインするには、Google Cloud コンソールのプロバイダ ID を使用して SAMLAuthProvider インスタンスをインスタンス化します。
Web バージョン 9
import { SAMLAuthProvider } from "firebase/auth";
const provider = new SAMLAuthProvider("saml.myProvider");
Web バージョン 8
const provider = new firebase.auth.SAMLAuthProvider('saml.myProvider');
次に、ポップアップまたはリダイレクト フローを使用して、SAML プロバイダにログインできます。
ポップアップ
Web バージョン 9
import { signInWithPopup } from "firebase/auth"; // Switch to TENANT_ID1. auth.tenantId = 'TENANT_ID1'; // Sign-in with popup. signInWithPopup(auth, provider) .then((userCredential) => { // User is signed in. const user = userCredential.user; // user.tenantId is set to 'TENANT_ID1'. // Provider data available from the result.user.getIdToken() // or from result.user.providerData }) .catch((error) => { // Handle / display error. // ... });Web バージョン 8
// Switch to TENANT_ID1. firebase.auth().tenantId = 'TENANT_ID1'; // Sign-in with popup. firebase.auth().signInWithPopup(provider) .then((result) => { // User is signed in. // tenant ID is available in result.user.tenantId. // Identity provider data is available in result.additionalUserInfo.profile. }) .catch((error) => { // Handle error. });リダイレクト
Web バージョン 9
import { signInWithRedirect, getRedirectResult } from "firebase/auth"; // Switch to TENANT_ID1. auth.tenantId = 'TENANT_ID1'; // Sign-in with redirect. signInWithRedirect(auth, provider); // After the user completes sign-in and returns to the app, you can get // the sign-in result by calling getRedirectResult. However, if they sign out // and sign in again with an IdP, no tenant is used. getRedirectResult(auth) .then((result) => { // User is signed in. // The tenant ID available in result.user.tenantId. // Provider data available from the result.user.getIdToken() // or from result.user.providerData }) .catch((error) => { // Handle / display error. // ... });Web バージョン 8
// Switch to TENANT_ID1. firebase.auth().tenantId = 'TENANT_ID1'; // Sign-in with redirect. firebase.auth().signInWithRedirect(provider); // After the user completes sign-in and returns to the app, you can get // the sign-in result by calling getRedirectResult. However, if they sign out // and sign in again with an IdP, no tenant is used. firebase.auth().getRedirectResult() .then((result) => { // User is signed in. // The tenant ID available in result.user.tenantId. // Identity provider data is available in result.additionalUserInfo.profile. }) .catch((error) => { // Handle error. });
どちらの場合も、auth インスタンスに正しいテナント ID を設定してください。
リンクをメールで送信
認証フローを開始するには、ユーザーにメールアドレスの入力を求めるインターフェースを表示し、sendSignInLinkToEmail を呼び出して認証リンクをユーザーに送信します。メールを送信する前に、auth インスタンスに正しいテナント ID を設定してください。
Web バージョン 9
import { sendSignInLinkToEmail } from "firebase/auth";
// Switch to TENANT_ID1
auth.tenantId = 'TENANT_ID1';
sendSignInLinkToEmail(auth, email, actionCodeSettings)
.then(() => {
// The link was successfully sent. Inform the user.
// Save the email locally so you don't need to ask the user for it again
// if they open the link on the same device.
window.localStorage.setItem('emailForSignIn', email);
})
.catch((error) => {
// Handle / display error.
// ...
});
Web バージョン 8
// Switch to TENANT_ID1
firebase.auth().tenantId = 'TENANT_ID1';
firebase.auth().sendSignInLinkToEmail(email, actionCodeSettings)
.then(() => {
// The link was successfully sent. Inform the user.
// Save the email locally so you don't need to ask the user for it again
// if they open the link on the same device.
window.localStorage.setItem('emailForSignIn', email);
})
.catch((error) => {
// Some error occurred, you can inspect the code: error.code
});
ランディング ページでログインを完了するには、まずメールリンクのテナント ID を解析し、auth インスタンスに設定します。次に、ユーザーのメールアドレスとワンタイム コードを含む実際のメールリンクを指定して、signInWithEmailLink を呼び出します。
Web バージョン 9
import { isSignInWithEmailLink, parseActionCodeURL, signInWithEmailLink } from "firebase/auth";
if (isSignInWithEmailLink(auth, window.location.href)) {
const actionCodeUrl = parseActionCodeURL(window.location.href);
if (actionCodeUrl.tenantId) {
auth.tenantId = actionCodeUrl.tenantId;
}
let email = window.localStorage.getItem('emailForSignIn');
if (!email) {
// User opened the link on a different device. To prevent session fixation
// attacks, ask the user to provide the associated email again. For example:
email = window.prompt('Please provide your email for confirmation');
}
// The client SDK will parse the code from the link for you.
signInWithEmailLink(auth, email, window.location.href)
.then((result) => {
// User is signed in.
// tenant ID available in result.user.tenantId.
// Clear email from storage.
window.localStorage.removeItem('emailForSignIn');
});
}
Web バージョン 8
if (firebase.auth().isSignInWithEmailLink(window.location.href)) {
const actionCodeUrl = firebase.auth.ActionCodeURL.parseLink(window.location.href);
if (actionCodeUrl.tenantId) {
firebase.auth().tenantId = actionCodeUrl.tenantId;
}
let email = window.localStorage.getItem('emailForSignIn');
if (!email) {
// User opened the link on a different device. To prevent session fixation
// attacks, ask the user to provide the associated email again. For example:
email = window.prompt('Please provide your email for confirmation');
}
firebase.auth().signInWithEmailLink(email, window.location.href)
.then((result) => {
// User is signed in.
// tenant ID available in result.user.tenantId.
});
}
カスタム トークンの作成
マルチテナント対応カスタム トークンの作成は、通常のカスタム トークンの作成と同じです。auth インスタンスで正しいテナント ID が設定されている限り、最上位の tenant_id クレームが結果の JWT に追加されます。カスタム トークンの作成方法と使用方法の詳細については、カスタム トークンの作成をご覧ください。
次の例は、Admin SDK を使用してカスタム トークンを作成する方法を示しています。
Web バージョン 9
// Ensure you're using a tenant-aware auth instance
const tenantManager = admin.auth().tenantManager();
const tenantAuth = tenantManager.authForTenant('TENANT_ID1');
// Create a custom token in the usual manner
tenantAuth.createCustomToken(uid)
.then((customToken) => {
// Send token back to client
})
.catch((error) => {
console.log('Error creating custom token:', error);
});
Web バージョン 8
// Ensure you're using a tenant-aware auth instance
const tenantManager = admin.auth().tenantManager();
const tenantAuth = tenantManager.authForTenant('TENANT_ID1');
// Create a custom token in the usual manner
tenantAuth.createCustomToken(uid)
.then((customToken) => {
// Send token back to client
})
.catch((error) => {
console.log('Error creating custom token:', error);
});
次のコードは、カスタム トークンを使用してログインする方法を示しています。
Web バージョン 9
import { signInWithCustomToken } from "firebase/auth";
auth.tenantId = 'TENANT_ID1';
signInWithCustomToken(auth, token)
.catch((error) => {
// Handle / display error.
// ...
});
Web バージョン 8
firebase.auth().tenantId = 'TENANT_ID1';
firebase.auth().signInWithCustomToken(token)
.catch((error) => {
// Handle Errors here.
const errorCode = error.code;
const errorMessage = error.message;
// ...
});
テナント ID が一致しない場合、signInWithCustomToken() メソッドは失敗します。
マルチテナント ユーザーの認証情報をリンクする
既存のマルチテナント ユーザーには、他の種類の認証情報をリンクできます。たとえば、あるテナントの SAML プロバイダでユーザーが認証済みの場合、既存のアカウントにメールアドレス / パスワードによるログインを追加して、どちらの方法でもテナントにログインできるようにできます。
Web バージョン 9
import { signInWithPopup, EmailAuthProvider, linkWithCredential, SAMLAuthProvider, signInWithCredential } from "firebase/auth";
// Switch to TENANT_ID1
auth.tenantId = 'TENANT_ID1';
// Sign-in with popup
signInWithPopup(auth, provider)
.then((userCredential) => {
// Existing user with e.g. SAML provider.
const prevUser = userCredential.user;
const emailCredential =
EmailAuthProvider.credential(email, password);
return linkWithCredential(prevUser, emailCredential)
.then((linkResult) => {
// Sign in with the newly linked credential
const linkCredential = SAMLAuthProvider.credentialFromResult(linkResult);
return signInWithCredential(auth, linkCredential);
})
.then((signInResult) => {
// Handle sign in of merged user
// ...
});
})
.catch((error) => {
// Handle / display error.
// ...
});
Web バージョン 8
// Switch to TENANT_ID1
firebase.auth().tenantId = 'TENANT_ID1';
// Sign-in with popup
firebase.auth().signInWithPopup(provider)
.then((result) => {
// Existing user with e.g. SAML provider.
const user = result.user;
const emailCredential =
firebase.auth.EmailAuthProvider.credential(email, password);
return user.linkWithCredential(emailCredential);
})
.then((linkResult) => {
// The user can sign in with both SAML and email/password now.
});
既存のマルチテナント ユーザーをリンクまたは再認証すると、auth.tenantId は無視されます。user.tenantId を使用して、使用するテナントを指定します。これは、updateProfile や updatePassword などの他のユーザー管理 API にも適用されます。
account-exists-with-different-credential エラーの処理
Google Cloud コンソールで [同じメールアドレスを使用するアカウントをリンク] 設定を有効にしている場合、ユーザーが、あるプロバイダ(Google など)用の既存のメールアドレスで、別のプロバイダ(SAML など)にログインしようとすると、エラー auth/account-exists-with-different-credential が(AuthCredential オブジェクトとともに)スローされます。
目的のプロバイダでのログインを完了するには、まず既存のプロバイダ(Google)にログインしてから、次に以前の AuthCredential(SAML)にリンクする必要があります。
このエラーを処理するには、ポップアップ フローまたはリダイレクト フローのいずれかを使用します。
ポップアップ
Web バージョン 9
import { signInWithPopup, fetchSignInMethodsForEmail, linkWithCredential } from "firebase/auth"; // Step 1. // User tries to sign in to the SAML provider in that tenant. auth.tenantId = 'TENANT_ID'; signInWithPopup(auth, samlProvider) .catch((error) => { // An error happened. if (error.code === 'auth/account-exists-with-different-credential') { // Step 2. // User's email already exists. // The pending SAML credential. const pendingCred = error.credential; // The credential's tenantId if needed: error.tenantId // The provider account's email address. const email = error.customData.email; // Get sign-in methods for this email. fetchSignInMethodsForEmail(email, auth) .then((methods) => { // Step 3. // Ask the user to sign in with existing Google account. if (methods[0] == 'google.com') { signInWithPopup(auth, googleProvider) .then((result) => { // Step 4 // Link the SAML AuthCredential to the existing user. linkWithCredential(result.user, pendingCred) .then((linkResult) => { // SAML account successfully linked to the existing // user. goToApp(); }); }); } }); } });Web バージョン 8
// Step 1. // User tries to sign in to the SAML provider in that tenant. firebase.auth().tenantId = 'TENANT_ID'; firebase.auth().signInWithPopup(samlProvider) .catch((error) => { // An error happened. if (error.code === 'auth/account-exists-with-different-credential') { // Step 2. // User's email already exists. // The pending SAML credential. const pendingCred = error.credential; // The credential's tenantId if needed: error.tenantId // The provider account's email address. const email = error.email; // Get sign-in methods for this email. firebase.auth().fetchSignInMethodsForEmail(email) .then((methods) => { // Step 3. // Ask the user to sign in with existing Google account. if (methods[0] == 'google.com') { firebase.auth().signInWithPopup(googleProvider) .then((result) => { // Step 4 // Link the SAML AuthCredential to the existing user. result.user.linkWithCredential(pendingCred) .then((linkResult) => { // SAML account successfully linked to the existing // user. goToApp(); }); }); } }); } });リダイレクト
signInWithRedirectを使用すると、リダイレクト フローの終了時にgetRedirectResultでauth/account-exists-with-different-credentialエラーが発生します。エラー オブジェクトには、
error.tenantIdプロパティが含まれます。authインスタンスのテナント ID はリダイレクト後に保持されないため、エラー オブジェクトのテナント ID をauthインスタンスに設定する必要があります。次の例は、エラーの処理方法を示しています。
Web バージョン 9
import { signInWithRedirect, getRedirectResult, fetchSignInMethodsForEmail, linkWithCredential } from "firebase/auth"; // Step 1. // User tries to sign in to SAML provider. auth.tenantId = 'TENANT_ID'; signInWithRedirect(auth, samlProvider); var pendingCred; // Redirect back from SAML IDP. auth.tenantId is null after redirecting. getRedirectResult(auth).catch((error) => { if (error.code === 'auth/account-exists-with-different-credential') { // Step 2. // User's email already exists. const tenantId = error.tenantId; // The pending SAML credential. pendingCred = error.credential; // The provider account's email address. const email = error.customData.email; // Need to set the tenant ID again as the page was reloaded and the // previous setting was reset. auth.tenantId = tenantId; // Get sign-in methods for this email. fetchSignInMethodsForEmail(auth, email) .then((methods) => { // Step 3. // Ask the user to sign in with existing Google account. if (methods[0] == 'google.com') { signInWithRedirect(auth, googleProvider); } }); } }); // Redirect back from Google. auth.tenantId is null after redirecting. getRedirectResult(auth).then((result) => { // Step 4 // Link the SAML AuthCredential to the existing user. // result.user.tenantId is 'TENANT_ID'. linkWithCredential(result.user, pendingCred) .then((linkResult) => { // SAML account successfully linked to the existing // user. goToApp(); }); });Web バージョン 8
// Step 1. // User tries to sign in to SAML provider. firebase.auth().tenantId = 'TENANT_ID'; firebase.auth().signInWithRedirect(samlProvider); var pendingCred; // Redirect back from SAML IDP. auth.tenantId is null after redirecting. firebase.auth().getRedirectResult().catch((error) => { if (error.code === 'auth/account-exists-with-different-credential') { // Step 2. // User's email already exists. const tenantId = error.tenantId; // The pending SAML credential. pendingCred = error.credential; // The provider account's email address. const email = error.email; // Need to set the tenant ID again as the page was reloaded and the // previous setting was reset. firebase.auth().tenantId = tenantId; // Get sign-in methods for this email. firebase.auth().fetchSignInMethodsForEmail(email) .then((methods) => { // Step 3. // Ask the user to sign in with existing Google account. if (methods[0] == 'google.com') { firebase.auth().signInWithRedirect(googleProvider); } }); } }); // Redirect back from Google. auth.tenantId is null after redirecting. firebase.auth().getRedirectResult().then((result) => { // Step 4 // Link the SAML AuthCredential to the existing user. // result.user.tenantId is 'TENANT_ID'. result.user.linkWithCredential(pendingCred) .then((linkResult) => { // SAML account successfully linked to the existing // user. goToApp(); }); });
エンドユーザー アカウントの作成と削除を無効にする
ユーザーが操作してアカウントを作成する代わりに、管理者がアカウントを作成する必要のある場合があります。そのような場合は、REST API を使用してユーザーの操作を無効にできます。
curl --location --request PATCH 'https://identitytoolkit.googleapis.com/v2/projects/PROJECT_ID/tenants/TENANT_ID?updateMask=client' \
--header 'Authorization: Bearer AUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data-raw '{
"client": {
"permissions": {
"disabled_user_signup": true,
"disabled_user_deletion": true
}
}
}'
以下を置き換えます。
AUTH_TOKEN: 認証トークン。PROJECT_ID: プロジェクト ID。TENANT_ID: テナント ID。