メインコンテンツへスキップ
Auth0 テナントに関するさまざまな設定を行うには、Dashboard > Settings にある テナント設定 ページを使用します。 テナントを構成する際は、次の項目を設定してください。
  • 環境タグ を指定します。 Production のタグが付いたテナントには、Development または Staging のタグが付いたテナントよりも高いレート制限が適用されます。Enterprise 以外のプランでは、サブスクリプションごとに Production としてタグ付けできるテナントは 1 つだけです。詳しくは、Set Up Multiple Environments を参照してください。
  • サポート用メールアドレス と サポート URL を設定します。 ユーザーがログイン時に問題に遭遇した場合、サポートへの連絡先が必要になります。これらの値を設定して、サポートを受けられるメールアドレスまたはランディングページに案内してください。
  • カスタムエラーページを設定します。 可能であれば、独自のカスタムエラーページをホストし、デフォルトページの代わりに Auth0 がそれを使用するように設定してください。これにより、エラー発生時にユーザーが取るべき対応について、より詳しく、状況に応じた説明を提供できます。
  • を設定します。 有料プランをご利用の場合は、Auth0 テナントにカスタムドメインを設定できます。カスタムドメインを使用すると、ブランドに合わせてログイン体験を統一でき、さらに追加のメリットも得られます。詳しくは、Custom Domains を参照してください。
  • (SSO) のセッションタイムアウトを設定します。 SSO セッションタイムアウト値は、ユーザーのセッションが期限切れになるまでの時間を指定します。デフォルト値は 7 日間で、この期間中、ユーザーは認証情報を再入力しなくても Auth0 と統合されたアプリケーションにアクセスできます。詳しくは、Sessions を参照してください。
  • テナントメンバーを設定します。 追加の Auth0 Dashboard ユーザーを設定し、 (MFA) を有効にします。詳しくは、Manage Dashboard Access および Manage Dashboard Access with Multi-Factor Authentication を参照してください。
  • Enable Application Connections 設定を無効にします。 この設定を有効にすると、構成済みのすべての接続が、新しく作成するすべてのアプリケーションで自動的に有効になります。その結果、本来は利用可能にするつもりのなかった接続を通じて、ユーザーがアプリケーションにログインできてしまう可能性があります。アプリケーションごとに適切な接続を明示的に有効にできるよう、この設定は無効にしてください。
  • を有効にします。 ブルートフォース攻撃や漏えいしたパスワードからユーザーを保護します。詳しくは、Attack Protection を参照してください。

一般

一般タブでは、テナントの基本設定をカスタマイズできます。

設定

Dashboard のテナント設定にある General Settings タブ
  • 表示名: ページでユーザーに表示する名前です。通常は、会社名または組織名を指定します。
  • ロゴ URL: Universal Login ページに表示するロゴの URL です。推奨される最小解像度は、幅 200 ピクセル、高さ 200 ピクセルです。
  • サポート用メールアドレス: サポートチームへの連絡に使用するメールアドレスです。
  • サポート URL: 会社または組織のサポートページへのリンクです。

環境タグ

テナントを本番、ステージング、または開発のいずれかとして指定することで、他のテナントと区別できます。有料サブスクリプションでは、Production とタグ付けされたテナントにより高いレート制限が適用されます。詳細については、複数の環境を設定するを参照してください。
undefined

API 認可設定

Dashboard のテナント設定の [General] タブにある API 認可設定
  • 既定の : 認可フローで使用する API Identifier。値を入力すると、Auth0 が発行するすべてので、この API Identifier がオーディエンスとして指定されます。既定の対象者の設定は、すべてのアプリケーションについて、テナントに送信されるすべての認可リクエストにこのオーディエンスを追加するのと同じです。これにより動作が変わり、一部のアプリケーションで互換性に影響する変更が発生する可能性があります。サポートが必要な場合は、サポートにお問い合わせください
  • 既定のディレクトリ: Resource Owner Password FlowUniversal Login Experience の両方で使用する既定の接続の名前です。値には、次のいずれかの strategy に属する既存の接続の正確な名前を指定する必要があります: auth0-adldap, ad, auth0, email, sms, waad, または adfs

エラーページ

認可エラーが発生した場合は、ユーザーに汎用的なエラーページを表示することも、独自のカスタムエラーページにリダイレクトすることもできます。詳しくは、カスタムエラーページを参照してください。
Dashboard テナント設定 一般 エラーページ

言語

ダッシュボードのテナント設定の[一般]タブの[言語]
  • デフォルト言語: テナントでデフォルトで使用される言語。
  • サポート対象言語: テナントでサポートされるその他の言語。

サブスクリプション

サブスクリプションタブでは、現在のサブスクリプションを確認し、現在のプランの機能を他の Auth0 のサブスクリプションプランと比較できます。サブスクリプションプランを変更することもできます。詳しくは、サブスクリプションの管理を参照してください。 Enterprise サブスクリプションをご利用の場合は、詳細について Auth0 との契約内容を参照してください。
Auth0 テナント設定のサブスクリプションタブ

支払い

支払いタブでは、請求情報を入力または更新できます。

テナントメンバー

テナントメンバー タブでは、テナントに割り当てられているテナントメンバーの一覧を確認できます。また、テナントメンバーの追加や削除、割り当てられているロールの確認、MFA が有効かどうかの確認も行えます。詳細については、Dashboard Access の管理を参照してください。
Dashboard の Tenant Settings の Tenant Members タブ

カスタムドメイン

カスタムドメイン タブでは、一貫したユーザー体験を維持するためにカスタムドメインを設定できます。カスタムドメインを作成すると、ログイン時にユーザーが auth0.com ドメインへリダイレクトされることなく、独自のドメインにとどまることができます。詳細については、カスタムドメイン を参照してください。

利用可否は Auth0 プランによって異なります

この機能を利用できるかどうかは、使用しているログイン実装に加えて、Auth0 プランまたは個別契約によって異なります。詳細については、Pricing を参照してください。
Dashboard のテナント設定にある カスタムドメイン タブ

署名鍵

署名鍵 タブでは、アプリケーションに送信される 、アクセストークン、 アサーション、および アサーションの署名に使用される署名鍵と証明書を安全に管理できます。
Dashboard のテナント設定の 署名鍵 タブ
  • ローテーション設定: アプリケーションの署名鍵と証明書をローテーションするための設定です。ローテーション時に署名鍵を失効させるかどうかを選択できます。詳細は、署名鍵 を参照してください。
    • 署名鍵をローテーション: 署名鍵を失効させずにローテーションします。実質的には、現在の鍵が以前の鍵になります。以前の鍵で署名されたトークンは、その鍵が失効するまで引き続き有効です。
    • 署名鍵をローテーションして失効: 署名鍵をローテーションした後、失効させます。実質的には、現在の鍵が以前の鍵になり、その後その以前の鍵が無効になります。現在の鍵をローテーションして失効させる前に、キュー内の次の鍵でアプリケーションを更新していることを確認してください。
  • 有効な鍵の一覧: テナントで有効なアプリケーション署名鍵の一覧です。これらはアプリケーションのメタデータ エンドポイントでも利用できます。有効な鍵には次が含まれます。
    • キュー内の次: 次回、署名鍵がローテーションされるときに使用される鍵です。
    • 現在使用中: 現在使用されている鍵です。
    • 以前使用されていたもの: 以前使用されていた鍵です。これが表示される場合、署名鍵はローテーションされていますが、以前使用されていた鍵はまだ失効していないことを示します。
  • 失効した鍵の一覧: テナントで最後に失効した 3 つの鍵の一覧です。失効した鍵に関する詳細なデータは、テナントログで確認できます。

詳細

詳細 タブでは、テナントの詳細設定を構成できます。

ログインとログアウト

Dashboard テナント設定 詳細タブ ログインとログアウト
  • テナントのログイン URI: /authorize エンドポイントにリダイレクトして OIDC ログインフローを開始する、アプリケーション内のルートを指す URI です。https://mytenant.org/login の形式にする必要があります。これは、Auth0 がテナント側で OIDC ログインフローを開始する必要があるシナリオでのみ使用されます。詳しくは、デフォルトのログインルートを設定するを参照してください。
  • 許可されるログアウト URL: Logout エンドポイントの呼び出し時に client_id が指定されていない場合に、ログアウト後 Auth0 がリダイレクトできる URL です。シングルサインオン (SSO) が有効な場合のグローバルリストとして役立ちます。詳しくは、ログアウトを参照してください。
  • 許可される ACR 値: 許可される Authentication Context Class Reference (ACR) の一覧です。これらの値は OpenID Configuration ドキュメントに含まれます。値が設定されている場合、ここに記載されていない値を認証フローで使用すると拒否されます。
  • RP-Initiated Logout End Session Endpoint Discovery: OpenID Configuration のレスポンスで、ログアウトエンドポイントを end_session_endpoint として公開するかどうかを制御します。
  • RP-Initiated Logout End-User Confirmation: RP-Initiated Logout リクエストに正しいヒントが含まれていない場合に、ユーザーにログインの確認を求めるかどうかを制御します。
  • Non-Verifiable Callback URI End-User Confirmation: コールバックとしてカスタム URI スキームが使用される場合に、ユーザーにログインの確認を求めるかどうかを制御します。Auth0 では、このような場合にエンドユーザー確認をスキップしないことを推奨しています。詳しくは、アプリケーションのなりすまし対策を参照してください。

ログインセッション管理

ログインセッション管理 の設定では、Auth0 の セッションレイヤーに対応するログインセッションの有効期間を設定します。認可サーバーのセッションレイヤーはシングルサインオン (SSO) を実現する基盤です。詳細については、シングルサインオン を参照してください。 Auth0 が発行するトークンのタイムアウトは、別の場所で設定できます。トークンのタイムアウトは、アプリケーションのセッションレイヤーを制御するためによく使用され、 Connect (OIDC) のIDトークンの exp クレームや、SAML の有効期間アサーションなどに現れます。
Dashboard テナント設定 Advanced ログインセッション管理
  • 非アクティブタイムアウト: ユーザーが認可サーバーとやり取りしない状態が続いた場合に、セッションの有効期限が切れるまでの時間 (分単位) 。Enterprise 以外のプランでは 4,320 分 (3 日) 、Enterprise プランでは 144,000 分 (100 日) を超えると、システムの上限が適用されます。
  • 再ログインが必要になるまでの時間: ユーザーのアクティビティにかかわらず、再度ログインが必要になるまでの時間 (分単位) 。Enterprise 以外のプランでは 43,200 分 (30 日) 、Enterprise プランでは 525,600 分 (365 日) を超えると、システムの上限が適用されます。

Device Flow のユーザーコード形式

Device Authorization Flow を使用している場合、これらの設定でランダムに生成されるユーザーコードを構成します。詳細については、デバイスユーザーコード設定を構成する を参照してください。
ダッシュボードのテナント設定の詳細タブにある Device Flow のユーザーコード形式
  • ユーザーコードの文字セット: ユーザーコードの生成に使用される文字セットです。
  • ユーザーコードのマスク: ユーザーコードの書式設定に使用されるマスクです。マスクでは、ユーザーコードの長さを定義し、可読性を高めるためにスペースやハイフンを使って見やすい形式に整えます。

グローバルクライアント情報

**グローバルグローバル**は、従来の Auth0 API のトークン生成に使用されます。通常、これらの値は必要ありません。グローバルクライアントシークレットの変更が必要な場合は、サポートにお問い合わせください
ダッシュボードのテナント設定の詳細タブにあるグローバルクライアント情報

設定 (詳細)

  • Change Password Flow v2: 有効にすると、Change Password Flow の最新バージョンが使用されます。以前のバージョンは非推奨であり、v2 を有効にすることを強く推奨します。このフラグは後方互換性のためにのみ表示されており、一度有効にすると無効に戻すことはできません。Change Password ウィジェットのユーザーインターフェースは、Auth0 Dashboard の Universal Login > Password Reset タブでカスタマイズできます。
  • Dynamic Client Registration (DCR):有効にすると、サードパーティの開発者がお使いの API に対してアプリケーションを動的に登録できるようになります。このフラグは、Auth0 /tenant/patch_settings エンドポイントを使用して更新することもできます。デフォルトでは、この機能は無効になっています。詳細については、Dynamic Client Registration を参照してください。
  • リソースパラメーター互換性プロファイル: リソースパラメーター互換性プロファイルは、認可リクエストにおいて Auth0 が resource パラメーターをどのように処理するかを定義します。
    • 有効な場合:
      • Auth0 は、クライアントアプリケーションがアクセスするリソースサーバー (API) を指定するために resource パラメーターを使用します
      • Auth0 はまず audience パラメーターを確認し、指定されていない場合は resource パラメーターを使用します
      • resource パラメーターは Auth0 によって処理され、上流の IdP には転送されません
    • 無効な場合 (デフォルト) :
      • Auth0 は、リソースサーバーを指定するために audience パラメーターのみを使用します
      • resource パラメーターは上流の IdP パラメーターとして扱われ、IdP に転送されます
  • クライアントIDメタデータドキュメント (CIMD) 登録: URL から外部でホストされているクライアントIDメタデータドキュメント (CIMD) をインポートして、CIMD を手動で登録できるようにします。CIMD は、アプリケーションが管理する安全な HTTPS ドメインでホストされる、クライアントメタデータを含む JSON ファイルです。詳細については、CIMD を使用したアプリケーションの登録を参照してください。
  • アプリケーションの接続を有効にする: 有効にすると、新しく作成されるすべてのアプリケーションで、現在のすべての接続が有効になります。
  • 公開サインアップ API のエラーメッセージで汎用レスポンスを使用する: 有効にすると、公開サインアップ API の使用時に発生したエラーに対して汎用的なレスポンスが返されます。これにより、user_exists などのエラーレスポンスコードから、以前に登録された識別子 (username、メールアドレス、または電話番号) をが推測できないようにし、ユーザー登録の列挙攻撃の防止に役立ちます。
  • ドメインによるエンタープライズ接続情報の公開を有効にする: 有効にすると、Home Realm Discovery がサポートされ、Auth0 Lock はエンタープライズ接続情報を含む公開ファイルを確認して利用します。この機能が不要な場合は、無効にできます。
  • Azure AD および ADFS 接続のログイン時にメールアドレス確認フローを有効にする: 有効にすると、Azure AD または ADFS 接続を使用するユーザーは、初回ログイン時にメールアドレス確認のプロンプトが表示されます。
  • の失効時にグラントを削除: 有効にすると、Authentication API の /oauth/revoke エンドポイントを使用してリフレッシュトークンを失効した際に、関連するグラントも削除されます。
    既存のテナントでは、従来の動作を維持するため、この機能はデフォルトで有効になっています。新規テナント (2021年1月13日以降) では、リフレッシュトークンを失効してもグラントまで失効しないようにするため、この機能はデフォルトで無効になっています。グラントを失効させる必要がある場合は、グラント失効エンドポイントを使用して別途リクエストを送信する必要があります。
  • Authentication API で組織名を許可: 有効にすると、/authorize および SAML エンドポイントで、組織 ID と名前の両方を受け付けるようになります。さらに、ID トークンとアクセストークンには、org_id クレームと org_name クレームの両方が含まれます。この設定を有効にする前に、重要な考慮事項と想定される影響について Authentication API で組織名を使用する を確認してください。
  • Pushed Authorization Requests (PAR) を許可: 有効にすると、/par エンドポイントで、クライアントアプリケーションから送信された認可リクエストを受け付けられるようになります。これにより、クライアントアプリケーションが安全性の低いフロントチャネル (つまりブラウザー) 経由でリクエストを送信する必要がなくなります。

拡張機能

Dashboard のテナント設定の Advanced タブの拡張機能
  • ランタイム: Custom Database Action ScriptsCustom Social Connections など、Auth0 の拡張機能で使用する Node.js ランタイム環境のバージョンを選択します。
  • Verify Custom DB Scripts: 有効なカスタムデータベースに対して、Node.js ランタイムのバージョン互換性チェックを選択して実行します。
    「Verify Custom Database Action Scripts」機能:

移行

このセクションでは、利用可能な各種移行機能を有効または無効にできます。

機能プレビュー

このセクションでは、利用可能な機能プレビューの有効/無効を切り替えられます。

テナントまたはサブスクリプションを削除する

削除したテナントは復元できず、新しいテナントの作成時にそのテナント名を再利用することもできません。テナント設定をリセットする方法については、テナントの削除またはリセットを参照してください。

関連情報