セッションライフサイクル

Auth0 のセッションライフサイクルは、ユーザーがログインした時点で始まり、ユーザーの操作によってアクティブな状態が維持され、セッションの有効期限が切れるか明示的に終了されると終了します。 Auth0 では、ユーザーが認可サーバーとやり取りしている場合、そのセッションはアクティブであると見なされます。たとえば、次のような場合です。

/authorize エンドポイントの呼び出し
サイレント認証の実行
シングルサインオンを使用した別のアプリケーションへのログイン

セッションは永続的または非永続的に設定できます。これにより、ブラウザーでセッションクッキーがどのように動作するかを設定できます。

永続セッション では、将来の有効期限タイムスタンプを持つ Cookie が保存されます。
非永続セッション では、Expires=0 の Cookie が保存されます。これは、ブラウザーを閉じたときに Cookie を削除するようブラウザーに指示します。

セッションクッキーの永続化動作は、ブラウザーの実装に依存します。Auth0 では、すべてのブラウザーが想定どおりに非永続 Cookie を削除することを保証できません。詳しくは、Cookies を参照してください。

セッションの有効期間

セッションの有効期限を定義するために、永続セッションと非永続セッションには、それぞれアイドル時の有効期間と絶対 (最大) 有効期間を設定できます。

アイドルタイムアウト

アイドルタイムアウトは、操作がない状態で許容される最大時間を定義します。ユーザーがシングルサインオン (SSO) 、サイレント認証、または /authorize を通じて Auth0 とやり取りするたびに、アイドルタイマーはリセットされます。設定された期間中に Auth0 とのやり取りがない場合、セッションは失効します。

絶対タイムアウト (最大)

絶対タイムアウトは、ユーザーのアクティビティに関係なく、セッションを有効なまま維持できる最大時間を定義します。絶対タイムアウトに達すると、セッションは期限切れとなり、ユーザーは再認証が必要になります。セッションの有効期間を設定する方法を参照してください。

セッションの有効期間の上限

セッションの有効期間には、次の上限があります。

セッションタイプ	タイムアウトタイプ	説明	最大値 (セルフサービスプラン)	最大値 (エンタープライズプラン)
非永続	Inactivity timeout	認可サーバーとのやり取りがない場合に、セッションが期限切れになるまでの時間	3日	100日
	Require Login after	アクティビティの有無にかかわらないセッションの最大有効期間	30日	365日
永続	Inactivity timeout	認可サーバーとのやり取りがない場合に、セッションが期限切れになるまでの時間	3日	100日
	Require Login after	アクティビティの有無にかかわらないセッションの最大有効期間	30日	365日

次のステップ

Actions を使用したセッションライフサイクルの構成について詳しくは、Actions を使用したセッションを参照してください。
Auth0 Management API のセッション管理エンドポイントについて詳しくは、Management API を使用したセッションを参照してください。

​セッションの有効期間

​アイドルタイムアウト

​絶対タイムアウト (最大)

​セッションの有効期間の上限

​次のステップ

セッションの有効期間

アイドルタイムアウト

絶対タイムアウト (最大)

セッションの有効期間の上限

次のステップ