メインコンテンツへスキップ
Auth0 ユーザーのプロファイルには email_verified フィールドがあり、接続の種類に応じて異なる方法で設定されます。データベース接続では、メールアドレスを確認済みにするために、ユーザーはメール確認フローを完了する必要があります。フェデレーション接続では、 が独自の基準に基づいて email_verified フィールドを返すことがあります。 Azure AD と ADFS では、返されるメールアドレスが確認済みであることを保証できません。
  • ADFS では、ADFS 管理者が任意のメールアドレスを設定できます。
  • Azure AD では、Azure AD テナントの構成によって、Azure AD から返されるメールアドレスが Office のメールボックスに対応している場合もあれば、対応していない場合もあります。Auth0 ではそれを判別できません。
ただし、Azure AD または ADFS の構成や管理方法を把握していれば、それらのアカウントのメールアドレスを確認済みとして信頼するかどうかを判断できます。 この両方のニーズに対応するため、Azure AD 接続と ADFS 接続には メールアドレス確認 プロパティがあり、次の 2 つの値を設定できます。
  • 常に email_verifiedtrue に設定する
  • 常に email_verifiedfalse に設定する
Azure AD 接続には Use Common Endpoint プロパティもあります。これを有効にすると、ユーザーは任意の Azure AD テナントで認証できます。どの Azure AD テナントでも確認済みのメールアドレスが返されると信頼することはできないため、メールアドレス確認 プロパティは Always set email_verified to false に設定する必要があります。 このプロパティが Always set email_verified to false に設定されている場合、ログインのたびにユーザープロファイル属性を同期する が無効になっていない限り、ユーザーが次回ログインした際に email_verifiedfalse に設定されます。

Azure AD/ADFS のメールアドレス確認移行設定

以前のバージョンでは、Auth0 は Azure AD および ADFS の接続で常に email_verified フィールドを true に設定していました。これまでに Azure AD または ADFS の接続を使用していた場合は、メールアドレス確認 の接続設定よりも優先され、従来の動作を維持するテナント設定が存在します。 この新しいテナント設定は、Auth0 Dashboard > Settings > Advanced で確認できます。Migrations セクションに移動し、Default to Email Verification setting for Azure AD/ADFS connections を探してください。
この設定を利用できるのは、次の場合のみです。
  • テナントが、この移行設定の導入日より前から存在している
  • テナントに、アクティブな ADFS または Azure AD の接続が 1 つ以上ある
Dashboard - Advanced Tenant Settings - Migrations
この設定を無効にすると、Azure AD/ADFS の接続では email_verified は常に true になります。有効にすると、接続レベルの メールアドレス確認 設定が使用されます。

Azure AD/ADFS 接続のメールアドレス確認フロー

アプリケーションで、Azure AD/ADFS 接続のユーザーのメールアドレスが常に確認済みである必要がある場合は、テナントの Advanced Settings セクションで Enable email verification flow during login for Azure AD and ADFS connections オプションを有効にできます。 ユーザーが未確認のメールアドレスで初めて認証すると、Auth0 は、そのメールアドレス宛てに送信されるワンタイム code を入力してメールアドレスを確認するようユーザーに求めます。
Auth0 - メールアドレス確認プロンプト - ワンタイムコード
ユーザーがこの手順を完了すると、email_verified フィールドは true に設定され、Azure AD または ADFS がそのユーザーに対して別のメールアドレスを返さない限り、以後メールアドレスの確認を再度求められることはありません。 この新しい画面は、Classic Login を使用している場合でも、 エクスペリエンスを使用して表示されます。カスタマイズ方法については、Customize Universal Login Pages を参照してください。 ユーザーに送信されるメールのカスタマイズ方法については、Verify Emails using Auth0 を参照してください。
Azure AD が email クレームを返さない場合、Auth0 は Azure UserPrincipalName をメールアドレスとしてマッピングします。UserPrincipalName の値がメールボックスである保証はないため、Auth0 はメールアドレス確認プロンプトを 表示せず、ユーザーの email_verified フィールドは false に設定されます。