メインコンテンツへスキップ
アプリケーションから (Lock ウィジェットまたはカスタムログインフォーム経由で) Auth0 に認証リクエストを送信すると、ユーザーの認証情報は、アプリケーションを提供しているドメインとは異なるドメインに送信されます。あるオリジンで提供されるアプリケーションでユーザーの認証情報を収集し、それを別のオリジンに送信すると、フィッシング攻撃の可能性を含む、一定のセキュリティ上の脆弱性が生じるおそれがあります。 Auth0 では、サードパーティ Cookie を使用するクロスオリジン認証フローを提供しています。サードパーティ Cookie を使用することで、Lock と Auth0 のバックエンドは、異なるオリジン間で安全な認証トランザクションを実現するために必要なチェックを実行できます。これにより、アプリケーション内の Lock ウィジェットまたはカスタムログインフォームで エクスペリエンスを構築する際のフィッシング防止に役立ちます。また、SSO が目的でない場合でも、安全なログインエクスペリエンスの実現に役立ちます。 クロスオリジン認証は推奨されておらず、ユーザー名とパスワードを使用してディレクトリに対して認証する場合にのみ必要です。ソーシャル やエンタープライズ フェデレーションでは、 Connect や などの標準プロトコルを使用したリダイレクトという別の仕組みを利用します。さらに、クロスオリジン認証が適用されるのは、Web 上の埋め込みログイン (Lock または auth0.js を使用) に限られます。埋め込みログインを使用するネイティブアプリケーションでは、標準の を使用します。

制限事項

クロスオリジン認証はサードパーティ Cookie を使用して実現されるため、サードパーティ Cookie を無効にするとクロスオリジン認証は失敗します。Firefox の最新バージョンなど、一部のブラウザーではサードパーティ Cookie が既定で無効になっているため、Firefox を使用するユーザーにはクロスオリジン認証は機能しません。Firefox ユーザーで埋め込みログインを機能させる唯一の方法は、以下で説明するように を使用することです。 この問題を解消するには、次の 2 つの方法があります。
  • テナントで カスタムドメイン を有効にし、Auth0 のカスタムドメインと同じトップレベルドメインを持つドメインで Web アプリケーションをホストします。たとえば、アプリケーションを https://northwind.com でホストし、Auth0 のカスタムドメインを https://login.northwind.com に設定します。こうすることで Cookie はサードパーティではなくなり (Auth0 テナントとアプリケーションの両方が同じトップレベルドメインを使用するため) 、ブラウザーでブロックされなくなります。
  • クロスオリジン検証ページを作成してリンクすることで、サードパーティ Cookie が無効になっている場合でも、一部のブラウザーではクロスオリジン認証を機能させることができます。

詳細