メインコンテンツへスキップ
Adaptive MFA を使用するには、Adaptive MFA アドオンを含む Enterprise Plan が必要です。詳細については、Auth0 Pricing を参照してください。
は、柔軟で拡張性の高い ポリシーであり、正当なユーザーの手間を増やすことなく、テナントを から保護するのに役立ちます。ログインのたびに潜在的なリスクを評価し、必要に応じてユーザーに追加の認証を求めます。

仕組み

ログイントランザクション中、Adaptive MFA は 3 つのリスク評価の分析に基づいて総合的な信頼度スコアを算出します。
評価項目リスクシグナル算出方法
NewDeviceユーザーが、過去 30 日以内にそのアカウントへのアクセスに使用されていないデバイスからサインインしようとしています。ユーザーエージェントとブラウザー Cookie を使用してデバイスを識別します。ログイン時に、そのデバイス情報をアカウントに関連付けられたデバイス一覧と比較します。
ImpossibleTravelユーザーが、前回のログインと比較して、移動が不可能と判断される地理的位置からサインインしようとしています。前回の有効な位置と今回のサインイン試行の位置との距離を計算し、サインイン試行の時間差から仮定上の移動速度を算出します。その速度を現実的な移動速度と比較します。
UntrustedIPユーザーが、不審な挙動との関連が確認されている IP アドレスからサインインしようとしています。Auth0 はトラフィックイベントから得られるインテリジェンスを使用して、その IP アドレスが悪意のある第三者による高頻度攻撃に使われた可能性を判断します。
Overall Risk Score上記 3 つの要素を組み合わせたものです。Auth0 は 3 つすべてのスコアを使用して総合スコアを割り当てます。独自のビジネスロジックを実装する場合は、Actions を使用してください。
Adaptive MFA が総合的な信頼度スコアが低いと判断した場合 (つまり、ログイントランザクションが高リスクである場合) 、ユーザーは MFA による本人確認を求められます。ユーザーが MFA に登録していない場合は、MFA に登録できるようになる前に追加の確認を完了する必要があります。 Adaptive MFA には、ユーザー本人であることを確認するための包括的なセキュリティフローが含まれています。
Auth0 Login Adaptive 多要素認証フロー図
Adaptive MFA は、既存の MFA セッションを一切考慮しません (たとえば、ユーザーが以前の MFA フローで このブラウザーを記憶する を選択していた場合でも同様です) 。また、ユーザーが MFA チャレンジを回避することもできません。

Adaptive MFA のカスタマイズ

Actions を使用すると、MFA フローをカスタマイズして、ユーザーに最適なエクスペリエンスを提供できます。 リスク評価、信頼度スコア、カスタマイズ オプションの詳細については、Adaptive MFA のカスタマイズ を参照してください。

サポートと制限事項

認可フロー

Adaptive MFA は、エンドユーザーによって開始されるすべての認証およびでサポートされています。各フローとプロトコルの詳細については、Authentication and Authorization Flowsおよび Protocols を参照してください。
ProtocolFlowSupported
OIDC/OAuth2Authorization Code Flowサポート対象
OIDC/OAuth2Authorization Code Flow with PKCEサポート対象
OIDC/OAuth2Implicit Flow with Form Postサポート対象
OIDC/OAuth2Hybrid Flowサポート対象
OIDC/OAuth2Client Credentials非対応
OIDC/OAuth2Device Authorization非対応
OIDC/OAuth2Resource Owner Password (ROP)非対応
OIDC/OAuth2Custom Token Exchange非対応
SAMLService Provider-Initiated (SP-initiated)サポート対象
SAMLIdentity Provider-Initiated (IdP-initiated)非対応*
WS-FederationN/Aサポート対象
AD/LDAPN/Aサポート対象
*Adaptive MFA は、 開始フローではサポートされていませんが、OIDC アプリケーションでこのフローをシミュレートできます。詳細については、Configure IdP-Initiated SAML Sign-on to OIDC Apps を参照してください。

ソーシャル接続

Adaptive MFA は、各ユーザーのメールアドレスを利用できるソーシャル接続タイプであれば完全にサポートされます。 Adaptive MFA では、ユーザーが MFA に登録されていない場合に発生するメールチャレンジのステップを完了するために、メールアドレスが必要です。メールアドレスを利用できない場合、Adaptive MFA はメールチャレンジを実行できず、トランザクションはブロックされます。このシナリオでセキュリティリスクが生じることはありませんが、この機能の利用は制限されます。 ソーシャル接続を設定していて、メールアドレスを利用できるはずなのに利用できない場合は、設定を確認し、正しいスコープ、クレーム、権限がリクエストされていることを確認してください。サポートされているソーシャル接続とそのインストール方法の詳細については、Auth0 Marketplace の Social Connections を参照してください。

Auth0 の機能

次の表は、Adaptive MFA に対する Auth0 の各実装のサポート状況を示しています。
ログインフローの実装Adaptive MFA のサポートレベル
Universal Loginサポートあり
カスタマイズなしの Classic Loginサポートあり
Classic Login (Auth0 でホスト) 、lock.js の Lock テンプレートを使用するカスタムログインページサポートあり
Classic Login (Auth0 でホスト) 、auth0.js の Custom Login Form テンプレートを使用するカスタムログインページサポートあり
Classic Login (Auth0 でホスト) 、メールのパスワードレスフローと lock.js の Passwordless テンプレートを使用するカスタムログインページサポートあり
Classic Login (Auth0 でホスト) 、SMS のパスワードレスフローと lock.js の Passwordless テンプレートを使用するカスタムログインページサポートなし。要件であるメールアドレスを利用できないためです。
Resource Owner Password Grant (ROPG) フローを使用する Web アプリまたはネイティブアプリ (旧バージョンの lock.android および lock.swift SDK を使用するものを含む)サポートあり。制限事項は次のとおりです。
• すべてのエンドユーザーがすでに MFA に登録済みの場合に動作します (サインアップ時にユーザーの登録を必須にしている場合) 。まだ登録されていないユーザーは、リスクの高いシナリオではブロックされます。
• ユーザーが新しいデバイスからログインしているかどうかを判断するリスク評価は機能しません。ROPG フローは、リスク判定に必要なブラウザ Cookie をサポートしていません。
• IP レピュテーションのリスク評価を機能させるには、送信元 IP アドレスの情報を含む auth0-forwarded-for ヘッダーを渡す必要があります。
埋め込み Universal Login をサポートする最新バージョンの SDK を使用するネイティブアプリサポートあり
最新バージョンの SDK と ROPG フローを使用するネイティブアプリサポートあり。制限事項は次のとおりです。
• すべてのエンドユーザーがすでに MFA に登録済みの場合に動作します (サインアップ時にユーザーの登録を必須にしている場合) 。まだ登録されていないユーザーは、リスクの高いシナリオではブロックされます。
• ユーザーが新しいデバイスからログインしているかどうかを判断するリスク評価は機能しません。ROPG フローは、リスク判定に必要なブラウザ Cookie をサポートしていません。
• IP レピュテーションのリスク評価を機能させるには、送信元 IP アドレスの情報を含む auth0-forwarded-for ヘッダーを渡す必要があります。
lock.js または auth0.js を使用し、クロスオリジン認証 (co/authenticate エンドポイント) を実行する、お客様がホストするフロー (Auth0 以外)サポートあり

詳細