メインコンテンツへスキップ
認証は、シームレスでより安全なログイン体験をユーザーに提供します。テクノロジーの進化に伴い、ユーザー名やパスワードといった従来の認証方法は、フィッシングやキーロギングなどのサイバー攻撃や情報漏えいのリスクに対して、より脆弱になっています。 パスワードレス認証では、ユーザーはアプリケーションにアクセスするために、パスワードを覚えたり手動で入力したりする必要がありません。代わりに、有効期限付きのアクセスリンクやトークン、保存されたパスキー、生体認証、ソーシャルアカウントなどを利用するさまざまな認証方式を使用できます。 パスワードやその他の記憶に頼るコードへの依存をなくすことで、アプリケーションへのアクセスをより便利にすると同時に、盗難や脆弱なパスワードによるデータ侵害の可能性も低減できます。 Auth0 は現在、次のパスワードレス認証方式をサポートしています。 これらの各方式は、それぞれ異なるパスワードレスログイン体験をユーザーに提供します。どの方式が要件に適しているかを詳しく知るには、以下のセクションを参照してください。

パスワードレス接続とパスワードレス認証

パスワードレス接続は、データベース接続、ソーシャル接続、または Enterprise 接続とは別の接続タイプです。パスワードレス接続は、特に次の用途で使用されます。 Auth0 のユーザーデータベースまたはソーシャルプロバイダーのユーザーが同じメールアドレスを使用している場合でも、パスワードレス接続に関連付けられたアイデンティティは別個のものです。アカウントリンクを使用すると、パスワードレス接続のアイデンティティを他の接続のアイデンティティに関連付けることができます。
Auth0 Dashboard からパスワードレスユーザーを作成することはできません。サインアップが無効になっている場合は、Management API から直接作成してください。Connection フィールドでは、メールアドレスを使用するパスワードレスユーザーには email を、携帯電話番号を使用するパスワードレスユーザーには SMS を使用します。

ソーシャルログイン

ソーシャルログインは、Google や Facebook などのソーシャルの既存の認証情報を使用して、ユーザーがアプリケーションにログインできる認証方式です。ソーシャル認証情報はブラウザーやデバイスに保存されていることが多いため、ソーシャルログインでは、アプリケーション上での手動操作を最小限に抑えたスムーズなユーザー体験を実現できます。 ソーシャルログインの一般的なフローは次のとおりです。
  1. ユーザーがアプリケーションのログイン画面にアクセスし、[provider] で続行オプションを選択します。
  2. ユーザーは、選択したプロバイダーの指示に従って、既存のソーシャル認証情報で認証します。
  3. ユーザーは、ログインプロセスを完了するためにアプリケーションにリダイレクトされます。
Web ベースのアプリケーションでは、Auth0 は複数のソーシャル IDプロバイダーを標準でサポートしています。サポートされているプロバイダーの一覧については、Auth0 Marketplace の Social Login セクションを参照してください。特定のプロバイダーが利用できない場合は、からカスタムソーシャルログイン接続を設定することもできます。 ネイティブアプリケーションでは、Auth0 は一部のプロバイダーについてソーシャルログインをサポートしています。 これらのアプリケーションでは、Auth0 はソーシャル接続トークン交換をサポートしており、Web リダイレクトなしで認証を行えます。

パスキー

パスキーは、FIDO® W3C Web Authentication (WebAuthn) および Client to Authenticator Protocol (CTAP) の仕様に基づく、従来の認証要素に代わるフィッシング耐性の高い認証手段です。 Auth0 は、データベース接続の認証方法としてパスキーをサポートしており、次の 2 つの実装方法を提供しています。 パスキーでは、資格情報をデバイス間で同期できるため、単一デバイスの認証方法で生じる煩雑さを軽減できます。クロスデバイス認証により、ユーザーはデバイスごとに再登録する必要がなくなります。 Web ベースのアプリケーションにおけるパスキーのワークフロー例は、次のとおりです。
  1. ユーザーがアプリケーションの Universal Login ページにアクセスし、メールアドレスを入力します。
  2. 次に、ユーザーはパスキーを作成するか、従来の認証を続行するかを選択できます。
  3. ユーザーが Create a new passkey を選択すると、ブラウザーのパスキー フローが開始され、生体認証などのデバイスの資格情報を使用して認証するよう求められます。
  4. ローカル認証が完了すると、パスキーはユーザーのデバイスに保存され、パスキー プロバイダー (iCloud や Google など) と同期されます。
このプロセスが完了すると、以後ユーザーはアプリケーションへのログイン時に保存済みのパスキーで認証できます。

SMS ベースのパスワードレス認証

SMS ベースのパスワードレス認証では、ワンタイムパスワード (OTP) と呼ばれる使い捨てコードを使用して、ユーザーがアプリケーションにアクセスできます。この実装では、OTP は SMS でユーザーの電話番号に送信されます。 SMS ベースの OTP の一般的なワークフローは次のとおりです。
  1. ユーザーがアプリケーションのログイン画面にアクセスし、電話番号を入力します。
  2. Auth0 が SMS でユーザーに OTP を送信します。
  3. ユーザーは OTP をコピーして、ログイン画面に戻ります。
  4. ユーザーは所定の欄に OTP を入力し、アプリケーションにログインします。
さまざまなログインタイプで SMS ベースのパスワードレス認証を設定する方法について詳しくは、以下のリソースを参照してください。
この種類のパスワードレス認証は現在、テナント内で、他のデータベース接続、ソーシャル接続、または enterprise 接続とは別の固有の接続タイプとして扱われます。ユーザーがこの方法で認証されると、Auth0 を IDプロバイダー (IdP) として使用するパスワードレス接続に、そのユーザープロフィールが作成されます。ユーザーが毎回同じメールアドレスまたは電話番号でログインするとは限らないため、Auth0 のデータストア内に複数のユーザープロフィールが作成される場合があります。重複が作成された場合は、アカウントリンクによって複数のユーザープロフィールを関連付けることができます。一部のシナリオでは、この種類のパスワードレス接続を通じて作成されたユーザープロフィールが、enterprise やソーシャルなど、別の種類の接続に関連付けられたプロフィールと同じ識別子 (メールアドレスや電話番号など) を共有する場合があります。この場合は、アカウントリンクを使用して、パスワードレスプロフィールを他の接続のアイデンティティに関連付けることができます。

メールベースのパスワードレス認証

メールベースのパスワードレス認証には、次の 2 つの方法があります。
このカテゴリのパスワードレス認証は現在、テナント内で、他のデータベース接続、ソーシャル接続、または Enterprise 接続とは別の独自の接続タイプとして扱われます。ユーザーがこの方法で認証すると、Auth0 を IDプロバイダー (IdP) とするパスワードレス接続上に、そのユーザープロフィールが作成されます。ユーザーが毎回同じメールアドレスまたは電話番号でログインするとは限らないため、Auth0 のデータストア内に複数のユーザープロフィールが作成されることがあります。重複するプロフィールが作成された場合は、アカウントリンクことで、複数のユーザープロフィールを関連付けることができます。状況によっては、この種のパスワードレス接続を通じて作成されたユーザープロフィールが、Enterprise 接続やソーシャル接続など、別の種類の接続に関連付けられたプロフィールと同じ識別子 (メールアドレスや電話番号など) を持つことがあります。その場合は、アカウントリンクを使用して、パスワードレスのプロフィールを他の接続のアイデンティティに関連付けることができます。

ワンタイムパスワード

このパスワードレス認証方式では、ワンタイムパスワード (OTP) と呼ばれる使い捨てコードを使用して、ユーザーがアプリケーションにアクセスできます。この実装では、OTP はユーザーのメールアドレスに送信されます。 メールベースの OTP の一般的なフローは次のとおりです。
  1. ユーザーがアプリケーションのログイン画面を開き、メールアドレスを入力します。
  2. Auth0 がユーザーのメールアドレスに OTP を送信します。
  3. ユーザーはコードをコピーして、ログイン画面に戻ります。
  4. ユーザーは用意された入力欄にコードを入力し、アプリケーションにログインします。
各ログインタイプでメールベースのパスワードレス認証を設定する方法の詳細については、以下のリソースを参照してください。 マジックリンクは、ユーザーがメールアドレスに送信されたリンクからアプリケーションにアクセスできる、パスワードレス認証の一種です。ユーザーが一定時間内にそのリンクにアクセスしない場合、そのリンクは利用できなくなります。 マジックリンクの一般的なフローは、次のとおりです。
  1. ユーザーがアプリケーションのログイン画面にアクセスし、メールアドレスを入力します。
  2. Auth0 が、指定されたメールアドレス宛てにマジックリンクを送信します。
  3. ユーザーがメール内のマジックリンクを開くと、アプリケーションに自動的にログインします。
マジックリンクは Classic Login でのみ実装できます。詳細については、以下のリソースを参照してください。

生体認証 (WebAuthn)

生体認証は、個人の身体的特徴を用いて本人確認を行い、アプリケーションへのアクセスを許可するパスワードレス認証方式です。Auth0 は現在、指紋スキャンと顔認証による生体認証をサポートしています。
Auth0 は引き続きレガシーな Identifier First with Biometrics 認証方式をサポートしていますが、代わりに パスキー ベースの認証 を使用することを強く推奨します。
アプリケーションに生体認証を実装するには、次の設定が必要です。 実装後、ユーザーは従来の認証情報でアプリケーションにログインしたあとに、デバイスを生体認証に登録するかどうかを選択できます。生体認証に登録するには、ユーザーはモバイル端末など、生体認証機能を備えたデバイスを使用している必要があります。 生体認証の一般的なフローは次のとおりです。
  1. ユーザーがアプリケーションの Universal Login ページにアクセスし、メールアドレスを入力します。
  2. ユーザーはまず従来の認証情報で認証を行います。その後、デバイスを生体認証に登録するよう求められます。
  3. ユーザーが登録を選択した場合は、デバイスの案内に従って生体認証の設定を完了します。
ユーザーがデバイスを登録すると、以降はアプリケーションへのログイン時に、生体認証を主要な認証方法として使用できます。 生体認証の詳細については、パスワードレス認証向けに Device Biometrics で WebAuthn を構成する を参照してください。