認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォームUniversal Login の機能と特徴
カスタマイズ
- Page Templates を使用して、ログインフローのすべてのページに Liquid テンプレートを指定できます。
- の ノーコードエディター または の Branding エンドポイントを使用して、色、フォント、カスタムロゴ URL などのページのブランディングをカスタマイズできます。
- Auth0 Management API の Branding エンドポイントを使用して、favicon の URL を設定できます。
- Auth0 Dashboard または Management API を使用して、ページテキストをカスタマイズできます。詳細については、Customize Universal Login Text Elements を参照してください。
- Auth0 Management API を使用して、サインアップおよびログインのプロンプトをカスタマイズできます。詳細については、Customize Signup and Login prompts を参照してください。
ログイン
- デバイス生体認証を使用する WebAuthn によるパスワードレスを利用できます。
-
ソーシャルプロバイダーで開発キーを使用している場合:
- シングルサインオン (SSO) とサイレント認証は正常に機能します。これは Classic Login エクスペリエンスではサポートされていません。
- ログインページには、テナントが開発キーで設定されていることを示す警告が表示されます。
- ソーシャル接続およびエンタープライズ接続ごとにボタンが表示されます。
-
ユーザーを
/loginページに直接リダイレクトすると、デフォルトのログインルートを設定していない限りエラーが表示されます。詳細は、デフォルトのログインルートを設定するを参照してください。ユーザーは必ず適切な認可リクエストエンドポイント (たとえば、 Connect を使用している場合は/authorize) にリダイレクトしてください。 -
Auth0 へのリダイレクト時に
login_hintを指定し、この情報を使ってログインページまたはサインアップページの username/メールアドレス フィールドに値を事前入力できます。 - パスキーは、データベース接続で利用できる認証方法です。パスキーは、従来の認証要素 (username/password など) に代わるフィッシング耐性のある手段で、より簡単かつ安全なログイン体験をユーザーに提供します。詳細は、パスキーを参照してください。
サインアップ
/authorizeにリダイレクトする際にscreen_hint=signupパラメーターを指定すると、ユーザーをログインページではなくサインアップページに直接遷移させることができます。このパラメーターはprompt=loginと組み合わせて使用することもでき、認証ページを常に表示するか、既存のセッションがある場合はそのページをスキップするかを指定できます。
/authorize parameters | 既存のセッションなし | 既存のセッションあり |
|---|---|---|
| 追加パラメーターなし | ログインページを表示 | コールバック URL にリダイレクト |
screen_hint=signup | サインアップページを表示 | コールバック URL にリダイレクト |
prompt=login | ログインページを表示 | ログインページを表示 |
prompt=login&screen_hint=signup | サインアップページを表示 | サインアップページを表示 |
多要素認証
- ユーザーが複数の 要素を登録している場合 (例: SMS とプッシュ通知) 、Universal Login の MFA ページでは、ユーザーは希望する方法を選択できます。
- MFA 要素として音声またはメールアドレスを使用できます。詳しくは、Configure SMS and Voice Notifications for MFA および MFA Factors を参照してください。
- Guardian SDK を使用してプッシュ通知を処理する独自のネイティブアプリケーションを作成している場合は、Dashboard > Security > Multi-Factor Auth セクションの Push via Auth0 Guardian オプションで、アプリケーション名とダウンロード URL を設定できます。
- MFA プロバイダーを
google-authenticatorに設定するルールがある場合は、Dashboard > Security > Multi-Factor Auth セクションでその OTP 要素を有効にする必要があります。 - MFA に WebAuthn を使用できます。
- Actions を使用すると、特定の要素または一連の要素でユーザーに認証を求めるように MFA フローをカスタマイズできます。また、ロールや組織メンバーシップなどのユーザーメタデータを活用して、より個別化されたエクスペリエンスを作成することもできます。詳しくは、Customize MFA Selection in Universal Login を参照してください。
パスワードのリセット
- Universal Login では、成功するとユーザーはデフォルトのログイン ルートにリダイレクトされ、エラー時の処理も Universal Login フローの一部として行われます。メールテンプレート内の Redirect URL は無視されます。リダイレクト URL を機能させるには、Dashboard > Applications > Applications の Settings タブで Application Login URI を指定する必要がある点に注意してください。
- データベース接続が Require Username に設定されている場合、パスワード リセット フローではユーザーに username の入力を求め、関連付けられたメールアドレスにパスワード リセット メールを送信します。詳細は、Adding Username for Database Connections を参照してください。
-
Actions を使用すると、password reset flows に追加のチャレンジを組み込めます。具体的には、
post-challengeトリガーを使用すると、ユーザーが最初のステップ (通常はパスワード リセット メール内のリンク) を完了した後、新しいパスワードを作成する前に、追加のチャレンジを提示できます。このトリガーを使って、ユーザーをサードパーティの検証サービスなどの外部サイトにリダイレクトしたり、追加の MFA 要素によるチャレンジを要求したりできます。ユーザーがパスワードを更新するには、この 2 回目のチャレンジを完了する必要があります。- 注: パスワード リセット フロー中にユーザーに表示される MFA プロンプトはカスタマイズできます。詳細は、Customize Universal Login Text Prompts. を参照してください。
カスタムデータベース接続
- change password スクリプトからエラーを返しても、パスワードリセットフローは正常に機能します。
ValidationErrorsまたはWrongUsernameOrPasswordErrorから返されたエラーは、対応するページに表示されます。詳しくは、カスタムデータベースのトラブルシューティングを参照してください。
メールアドレスの確認
パスワードの自動入力
autocomplete は "new-password" に設定されています。これにより、パスワードマネージャーはユーザーに安全でランダムなパスワードを生成するよう促します。ユーザーがパスワードマネージャーにパスワードを保存するには、明示的に同意する必要があります。
ログインページでは、autocomplete は "current-password" に設定されています。ブラウザーのパスワードマネージャーに保存されている場合、ログインページでパスワードが自動入力されます。
パスワードの自動入力を無効にしても、セキュリティは向上しない点に注意してください。
- ユーザーがブラウザーのパスワードマネージャーにパスワードを保存するには、明示的に保存を選択する必要があります
- いったんパスワードマネージャーに保存されると、そのコンピューターにアクセスできる人であれば、ログイン画面でパスワードが自動入力されるかどうかに関係なく、パスワードマネージャーを開いてパスワードを確認できます。ユーザーがブラウザーにログインしている場合は、保存済みパスワードを表示する前にパスワードの入力を求められます。そうでない場合は、誰でも確認できます。
- Safari の場合、パスワードが入力される前に、ユーザーは Mac のパスワードを入力するか、Touch ID を使用するよう求められます。