メインコンテンツへスキップ
カスタムドメインで証明書を管理するには、Enterprise サブスクリプションが必要です。詳細については、Auth0 Pricing および Login を参照してください。
Auth0 の支援を受けずに の証明書を管理する場合は、ドメイン上で複数の DNS レコードを必要とする受信接続に対応するために、独自のプロキシと証明書を管理する方法を理解している必要があります。証明書はお客様自身で購入または用意し、更新も管理する必要があります。また、証明書をインストールするためのリバースプロキシも必要です。ドメインの検証が完了すると、プロキシからのトラフィックを受け入れます。 このオプションを選択する理由は次のとおりです。
  • 証明書をより細かく制御できる (独自の CA や証明書の有効期限を選択するなど) 。
  • Auth0 への API 呼び出しに対して追加の監視を有効にできる。
自己管理証明書を使用してカスタムドメインを設定するには、ドメイン名を Auth0 に提供し、そのドメインの所有権を確認したうえで、リバースプロキシを設定する必要があります。カスタムドメインの設定が完了したら、カスタムドメインを使用し始めるために Auth0 の各機能を設定する必要があります。
Auth0 へのプロキシ接続では、TLS (SSL) バージョン 1.2 以降を使用する必要があります。

Auth0 にドメイン名を指定する

  1. Dashboard > Settings > Custom Domains または Dashboard > ブランディング > Custom Domains に移動します。表示されるボックスにカスタムドメインを入力し、ドロップダウンメニューから Self-managed Certificates を選択します。
  2. Add Domain を選択します。 ドメインを追加した後も Add Domain ボタンは表示されたままですが、テナントごとに追加できるドメインは 1 つだけです。

所有権を確認する

Auth0 でこのドメインを使用する前に、そのドメインの所有権を確認する必要があります。
  1. Dashboard > ブランディング > Custom Domains に移動します。
    Auth0 Branding Custom Domains Self-Managed Certificate Verify Domain
  2. TXT 検証情報をドメインの DNS レコードに追加します。 手順は、ドメインホスティングプロバイダーによって異なる場合があります。
    1. 値をコピーできるように、Auth0 のカスタムドメインページをブラウザーで開いたままにしておきます。
    2. ドメイン管理サービスにログインします。
    3. 新しいレコードを作成し、次の設定で保存します。
      パラメーター
      レコードタイプTXT
      名前Auth0 に表示されるドメインの TXT Record の値をコピーして貼り付けます。
      Time to Live (TTL)デフォルト値を使用します。
      Auth0 に表示されるドメインの TXT Content の値をコピーして貼り付けます。
  3. Verify をクリックして続行します。 DNS 設定によっては、Auth0 がドメインを確認できるようになるまで数分かかる場合があります。 Auth0 によるドメイン名の確認が成功すると、確認ウィンドウが表示されます。 このウィンドウに表示される情報、特に cname-api-key の値を保存してください。この値を確認できるのは このときだけ です。
    セキュリティ上の理由から、この値は保存時にハッシュ化されるため、復元できません。この時点で cname-api-key を控えなかった場合は、カスタムドメインを再作成する必要があります。
    確認プロセスはこれで完了です。1 ~ 2 分以内にカスタムドメインを使用できるようになります。3 日以内に確認プロセスを完了できない場合は、これらの手順をもう一度実行してください。

リバースプロキシを設定する

リバースプロキシサーバーは、1 つ以上のサーバーからアプリケーションに代わってリソースを取得します。これらのリソースはその後アプリケーションに返され、あたかもプロキシサーバー自体から提供されたかのように見えます。 CloudflareAzure CDNGoogle Cloud Platform、または AWS Cloudfront などのサービスを使用して、カスタムドメインの設定を行えます。ディストリビューション用に、リバースプロキシサーバーのドメイン名を指す新しい CNAME 値を、カスタムドメインの DNS に追加します。
  1. サービスでリバースプロキシの設定を作成したら、Auth0 Dashboard > ブランディング > Custom Domains タブに移動します。
  2. ディストリビューション用のサービスドメイン名を指す新しい CNAME レコードを、カスタムドメインの DNS に追加します。これは、リバースプロキシサーバーの設定で Distribution ID を確認すると見つかります。 追加後は、証明書の更新時に問題が発生しないよう、CNAME レコードを常に保持しておく必要があります。
  3. プロキシサーバーの設定方法は、使用するサービスによって異なります。通常、次の種類の設定が必要になります。

ディストリビューション設定

設定
オリジンドメイン名Custom Domains の設定時に Auth0 Dashboard で取得した Origin Domain Name の値を設定します。
オリジン IDオリジンの説明です。この値は、同じディストリビューション内の複数のオリジンを区別するために使用されるため、一意である必要があります。
オリジンプロトコルポリシーHTTPS Only に設定します。
代替ドメイン名 (CNAME)カスタムドメイン名 (Auth0 Dashboard で設定したものと同じもの) を設定します。

オリジンホスト名の設定

設定
オリジンホスト名{yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.us.auth0.com を入力します。<CUSTOM_DOMAIN_ID> は、新しいカスタムドメインの設定時に Auth0 から提供された Origin Domain Name (カスタムドメイン ID) の値に置き換えてください。テナントが US リージョンにない場合は、次のいずれかを使用してください。
  • EU: {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.eu.auth0.com
  • AU: {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.au.auth0.com
  • JP: {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.jp.auth0.com
たとえば、CUSTOM_DOMAIN_ID が次の場合:

cd_TXIdNgQ07HrAFVmz

US テナントのオリジンホスト名は次のようになります。

US: {yourTenant}-cd-txIdngq07hrafvmz.edge.tenants.us.auth0.com
Server Name Indication (SNI)オリジンホスト名に指定した名前を使用してください。
カスタムドメインの詳細を取得する方法については、Get custom domain configurations を参照してください。

HTTP ヘッダー

ヘッダー名
Hostオリジンホスト名
cname-api-keyAuth0 でドメイン名の所有権を確認した直後に付与された CNAME API Key の値。Auth0 がプロキシからのトラフィックを受け入れるには、このヘッダーを設定する必要があります。
X-Forwarded-Forエンドユーザーの IP アドレス。複数の IP アドレスは指定しないでください。

ユーザーの IP アドレスに別のヘッダーを指定するには、Management API の新しいカスタムドメインエンドポイントを構成するを使用して、custom_client_ip_header プロパティを設定します。
Auth0 は、異常検知、レート制限、MFA などの機能でエンドユーザーの IP アドレスを使用します。プロキシがエンドユーザーの IP アドレスを転送しない場合、Auth0 はプロキシの IP アドレスをクライアントの IP アドレスとして扱うため、これらの機能が正しく動作しない可能性があります。

デフォルトのキャッシュ動作設定

設定
Viewer Protocol PolicyRedirect HTTP to HTTPS を選択します。
Allowed HTTP MethodsGET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE を選択します。
Cache Based on Selected Request HeadersAllow list を選択します。
Allow List Headers次のヘッダーを許可リストに追加します: User-AgentOriginRefererAuthorizationAcceptAccept-Language
Forward CookiesAll を選択します。
Query String Forwarding and CachingForward all, cache based on all を選択します。

特定の Auth0 機能に関する追加手順

使用している Auth0 機能によっては、追加の設定手順が必要です。詳しくは、カスタムドメインで使用する機能を設定するを参照してください。 Cloudflare では CNAME flattening という機能が使用されており、DNS レコードの処理方法の関係で、Auth0 の検証や証明書の更新に影響します。どうしても必要な場合を除き、CNAME flattening は無効にすることをお勧めします。 この機能では証明書を自分で管理することになるため、攻撃を受けた際にリクエストをブロックするための緩和策 (Web Application Firewall など) を設計する必要があります。詳しくは、ボット対策の今後について説明した Auth0 のブログを参照してください。

詳しくはこちら