クライアント起点バックチャネル認証 (CIBA) 機能を使用するには、Enterprise Plan または適切なアドオンが必要です。詳細については、Auth0 Pricingを参照してください。
- クライアントがファーストパーティクライアントであり、
is_first_party プロパティが true であること。
- クライアントが認証メカニズムを備えた confidential クライアントであり、
token_endpoint_auth_method プロパティが none に設定されていないこと。
- クライアントが OIDC 準拠であり、
oidc_conformant が true であること。これは、すべての新規クライアントのデフォルトです。
CIBA グラントタイプを有効にすると、アプリケーションで使用可能な通知チャネルの設定が表示されるようになります。
Auth0 Dashboard
Management API
Auth0 Dashboard を使用してアプリケーションの CIBA を設定するには、次の手順に従います。
- Auth0 Dashboard で Applications > Applications に移動します。
- アプリケーションを作成し、Grant Types タブで Client Initiated Backchannel Authentication (CIBA) を有効にします。
- Save Changes をクリックします。
Management API を使用してアプリケーションの CIBA を設定するには、Update a Client エンドポイントを使用して、urn:openid:params:grant-type:ciba グラントタイプをクライアントオブジェクトのグラントタイプ一覧に追加します。curl --location --request PATCH 'https://{YOUR_DOMAIN}.auth0.com/api/v2/clients/{YOUR_CLIENT_ID}' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}' \
--data '{
"grant_types": [
"authorization_code",
"refresh_token",
"urn:openid:params:grant-type:ciba"
]
}'
myClient := &Client{
Name: auth0.Stringf("CIBA-enabled-client"),
Description: auth0.String("This is a CIBA enabled client."),
GrantTypes: &[]string{"urn:openid:params:grant-type:ciba"},
}
err := api.Client.Create(context.Background(), myClient)
クライアント起点バックチャネル認証 (CIBA) 機能を使用するには、Enterprise Plan または適切なアドオンが必要です。詳しくは Auth0 Pricing を参照してください。 requested_expiry パラメーターの値に基づいて使用する通知チャネルを決定します。requested_expiry は、CIBA セッションの有効期間の上限を秒単位で指定します。
- モバイルプッシュ通知:
requested_expiry を 300 秒以下に設定すると、有効になっている場合は CIBA でモバイルプッシュ通知チャネルが使用されます。
- メール通知:
requested_expiry を 301 ~ 259200 秒 (72 時間) の値に設定すると、有効になっている場合は CIBA でメール通知チャネルが使用されます。
Auth0 Dashboard
Management API
Auth0 Dashboard でアプリケーションの通知チャネルを設定するには、次の手順を実行します。
- Applications > Applications に移動します。
- アプリケーション設定の クライアント起点バックチャネル認証 (CIBA) セクションに移動し、有効にする通知チャネルを選択します。
クライアントアプリケーションの /api/v2/clients エンドポイントに PATCH リクエストを送信し、CIBA フローの通知チャネルを設定します。次のコードサンプルでは、CIBA フローで guardian-push 通知チャネルを有効にしています。curl -L --request PATCH 'https://{YOUR_DOMAIN}/api/v2/clients/{YOUR_CLIENT_ID}' \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{
"async_approval_notification_channels":["guardian-push"]
}'
- Auth0 Guardian アプリ
- Auth0 Guardian SDK と統合されたカスタムアプリ
使用するアプリは、Auth0 Guardian プッシュ通知を有効にするときに選択できます。カスタムアプリを使用する場合は、Auth0 Guardian SDK と統合する必要があります。これにより、承認するユーザーはカスタムアプリ内で、CIBA フローによって開始されたプッシュ通知チャレンジを承認できるようになります。
モバイルプッシュ通知を設定するには、次を必ず行ってください。
Auth0 Guardian プッシュ通知を有効にする
-
Security > Multi-factor Auth. を選択します。
-
Push Notification using Auth0 Guardian を有効にします。これには、一部の 設定が必要になる場合があります。詳細については、MFA のプッシュ通知を設定する を参照してください。
- Push Notification App で、使用するアプリを選択します。
プッシュ通知を使用する MFA に承認ユーザーを登録する
ユーザーが MFA プッシュ通知を使用するように登録されていない場合、Auth0 は CIBA リクエストを拒否せず、設定されていればメール通知にフォールバックします。
CIBA でメール通知を使用するには、有料プランの Auth0 for AI Agents アドオンが必要です。詳細については、Auth0 Pricing を参照してください。 Auth0 Dashboard
Management API
- ブランディング > メールテンプレート に移動します。
- テンプレート で、ドロップダウンメニューから Asynchronous Approval を選択します。
- 残りのテンプレート設定は、テンプレートフィールドを設定する の手順に従って入力します。
/email-templates/async_approval エンドポイントに PATCH リクエストを送信し、テンプレートフィールドを設定する の手順に従って残りのテンプレート設定を入力します。詳細については、メールテンプレートを更新する API ドキュメントを参照してください。curl -L "https://{YOUR_DOMAIN}.auth0.com/api/v2/email-templates" \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{"template":"async_approval","body":"{{application.name}} says click on {{url}}, binding message: {{binding_message}}","subject":"Action Required","syntax":"liquid","enabled":true,"from":""}'
認可するユーザーに確認済みメールアドレスがあることを確認する
ユーザーのメールアドレスが確認済みでない場合、Auth0 は CIBA のメールリクエストを拒否します。
- User Management > ユーザー に移動し、対象のユーザーをクリックします。
- メールアドレス に、確認済みメールアドレスが表示されていることを確認します。
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム
