認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム始める前に
サポートされているサードパーティ製 CAPTCHA プロバイダー統合を使用するには、プロバイダーの設定情報が必要です。詳しくは、サードパーティ製 CAPTCHA プロバイダー統合を設定するを参照してください。
Bot Detection を設定する
- Dashboard > Security > Attack Protection に移動し、Bot Detection を選択します。
-
Detection セクションで、トグルを有効にします。
リスク評価用のテナントログを有効にするトグルが表示されない場合は、プランのアップグレード が必要になることがあります。 -
Response セクションで、Bot Detection のレスポンスを選択します。
Auth Challenge を使用する場合、Fail open トグルはデフォルトで無効になっています。 Fail Open トグルを有効にすると:
- Bot Detection サービスに接続できない場合、Auth0 は認証処理を優先し、CAPTCHA チャレンジなしで続行します。エンドユーザーにはエラーメッセージは表示されず、引き続きログインまたは登録できます。
- Bot Detection サービスに接続できる場合、認証処理は CAPTCHA チャレンジ付きで続行されます。
Auth Challenge はデフォルトの Bot Detection レスポンスであり、CAPTCHA を使わない Web エクスペリエンスによって、より高いプライバシー保護と優れたユーザー体験を提供します。ダッシュボードに記載されているとおり、このログイン体験には JavaScript が必要です。JavaScript なしでも動作する必要がある場合は、Simple CAPTCHA を選択してください。 -
パスワードフロー、パスワードレスフロー、およびパスワードリセットフローで CAPTCHA を要求するタイミングを選択します。
- Never: ユーザーにログイン時の CAPTCHA 完了を要求しません。
- When Risky: ログインが Bot Detection Level の設定に一致する場合にのみ、ユーザーに CAPTCHA の完了を要求します。
- Always: ユーザーに常にログイン時の CAPTCHA 完了を要求します。
-
When Risky または Always を選択すると、Response セクションに CAPTCHA Providers フィールドが表示されます。Auth Challenge (Auth0 提供) 、Simple CAPTCHA (Auth0 提供) 、またはサポートされているサードパーティのプロバイダー統合のいずれかを選択します (外部でのセットアップと登録が必要です) 。
- Auth Challenge または Simple CAPTCHA を選択した場合、これで完了です。ログイン体験が JavaScript をサポートしていない場合は、Simple CAPTCHA を選択する必要があります。
- サードパーティのプロバイダー統合を選択した場合は、プロバイダーの設定詳細を入力します。詳しくは、Configure third-party CAPTCHA provider integrations を参照してください。
- Simple CAPTCHA を選択した場合、CAPTCHA 画像はスクリーンリーダーで判読できません。
- When Risky を選択すると、Response セクションに Bot Detection Level フィールドが表示されます。ユースケースに最も適したセキュリティレベルを選択します。詳しくは、Configure Bot Detection Level を参照してください。
- Save を選択します。
ボット検出レベルを設定する
- Low: ボットによるアクティビティの可能性が高い場合にキャプチャをトリガーし、実際のユーザーへの影響を比較的少なく抑えます。
- Medium: デフォルト。ボットによるアクティビティの可能性が中程度の場合にキャプチャをトリガーし、実際のユーザーの利便性とセキュリティのバランスを取ります。
- High: ボットによるアクティビティの可能性がわずかでもある場合にキャプチャをトリガーし、セキュリティは高まりますが、実際のユーザーへの影響も大きくなる可能性があります。
信頼できる IP アドレスが Bot Detection をバイパスできるようにする
- Dashboard > Security > Attack Protection に移動し、Bot Detection を選択します。
- IP AllowList フィールドに、Bot Detection のバイパスを許可する IP アドレスや CIDR 範囲を入力します。複数のアドレスまたは範囲を指定する場合は、カンマで区切ります。
Custom Login Page と Classic Login Experience のサインアップ検出モデルを設定する
- Dashboard > Security > Attack Protection に移動し、Bot Detection を選択します。
- Detection Models セクションを見つけます。
- Signup detection models for custom and classic login pages のトグルを有効にします。
制約事項と制限
フローの制限
| Flow | Limitation |
|---|---|
| Universal Login | デフォルトでサポートされます。 |
| Classic Login (no customizations) | デフォルトでサポートされます。 |
| Classic Login (Custom Login Page using Lock template) | lock.js SDK バージョン 12.4.0 以降を使用している場合にサポートされます。 |
| Classic Login (Custom Login Page using Custom Login Form template) | auth0.js SDK バージョン 9.24 以降を使用し、CAPTCHA または reCAPTCHA チャレンジを処理できるようコードを拡張している場合にサポートされます。 |
| Native applications | 次のいずれかの SDK を使用している場合にサポートされます。
|
| Regular Web or Native applications using Resource Owner Password Flow | 限定的にサポートされます。CAPTCHA などの Bot Detection レスポンスにはインタラクティブなフローが必要なため、サポートされません。SDK から requires_verification エラーが返された場合は、ユーザーが認証を完了できるよう、Web ベースのログインフローを開始する必要があります。 |
Flows not hosted by Auth0 using lock.js or auth0.js SDK which perform cross-origin authentication (co/authenticate endpoint) | サポートされません。 |
接続タイプの制限
| 接続タイプ | 制限 |
|---|---|
| データベース | ログインで、フローの制限事項の表に記載されている互換性のあるログインフローを使用している場合にサポートされます。 |
| カスタムデータベース | ログインで、フローの制限事項の表に記載されている互換性のあるログインフローを使用している場合にサポートされます。 |
| Active Directory/LDAP | ログインで、フローの制限事項の表に記載されている互換性のあるログインフローを使用している場合にサポートされます。 |
| エンタープライズ | サポートされていません。 |
| ソーシャルログイン | サポートされていません。 |
| パスワードレス | ログインで、フローの制限事項の表に記載されている互換性のあるログインフローを使用している場合にサポートされます。 |