Skip to main content
永続セッションでは、ユーザーがブラウザーを閉じても、同じデバイスでブラウザーを再度開くとセッションが維持されます。ユーザーエクスペリエンスを向上させ、より安全なアクセスを提供するため、非永続セッションではブラウザーを閉じるとが無効になります。
第1要素の認証タイプとしての生体認証は、非永続セッションでは機能しません。

ブラウザーの制限

場合によっては、非永続セッションはテナント設定で強制できないことがあります。例:
  • ユーザーがブラウザーでセッション復元を有効にしている場合、セッションを復元するとセッションクッキーも復元されます。
  • ユーザーがブラウザーウィンドウは閉じずにタブだけを閉じた場合、セッションクッキーはアイドル期限または絶対有効期限に基づいてセッションが終了するまで削除されません。
このような場合、非永続セッションによってセッションのセキュリティがさらに向上することはありません

セッション

セッションは、ブラウザー上のクッキーとサーバー上のセッションレコードで構成されます。非永続セッションでは、クッキーは保持されず、テナントのタイムアウトが設定されるため、ユーザーはデバイスから手動でログアウトする必要がありません。 セッションの有効期間は、システムがログインセッションを保持する時間を決定するもので、テナントごとに設定します。セッションの Absolute Expiration は、セッションの作成時に定義されます。ユーザーセッションでは非永続設定を有効にすることも、ブラウザーを閉じてもセッションが継続するようにすることもできます。Absolute Expiration と非永続設定は、Dashboard または で調整できます。詳細については、セッション有効期間の設定を構成するを参照してください。

クッキー

Auth0 プラットフォームでは、Cookie を 3 種類使用します。セッション、、およびデバイスです。Auth0 テナントを設定すると、これらはすべて非永続になります。テナントのタイムアウトにより、セッションは期限切れになります。 非永続セッションを有効にすると、とのやり取り時に、次の Cookie がセッションクッキーとして発行されます。
  • auth0 / auth0_compat
  • auth0-mf / auth0-mf_compat
  • did / did_compat
Cookie の詳細については、Authentication API Cookies を参照してください。

テナント設定

テナントでは、次の 2 通りの方法でセッションを処理するよう設定できます。
  • Persistent: ブラウザーを閉じてもセッションクッキーは保持されます。
  • Non-Persistent: セッションクッキーは保持されません。ブラウザーは、ブラウジング セッションが終了するまでセッションクッキーを保持します。詳しくは、IETF Datatracker の HTTP State Management Mechanism を参照してください。
Dashboard でこれらの設定を行うには、次の手順に従います。
  1. Dashboard > Tenant Settings に移動し、Advanced ビューを選択します。
  2. Session Expiration セクションまでスクロールし、Idle Session LifetimeMaximum Session Lifetime を見つけて、必要な設定を入力し、Save を選択します。
    設定説明
    Idle Session Lifetimeユーザーが認可サーバーとやり取りしない状態が続いた場合に、セッションの有効期限が切れるまでの時間 (分単位) 。Essential または Professional では 4,320 分 (3 日) 、enterprise プランでは 144,000 分 (100 日) を超えると、システムの制限値が適用されます。
    Maximum Session Lifetimeユーザーのアクティビティに関係なく、再度ログインが必要になるまでの時間 (分単位) 。Developer または Developer Pro では 43,200 分 (30 日) 、enterprise プランでは 525,600 分 (365 日) を超えると、システムの制限値が適用されます。

Management API

Management API を使用すると、非永続セッションを有効にできるほか、セッションの有効期間、アイドル時のセッション有効期間、セッションクッキーのプロパティ値を設定できます。詳しくは、Management API Tenant Update エンドポイントを参照してください。