メインコンテンツへスキップ
Auth0 Guardian は、iOS および Android デバイス向けのモバイルアプリで、ユーザーはプッシュ通知または一時的なワンタイムパスワードを使用して 多要素認証 (MFA) を完了できます。 Auth0 Guardian は、ユーザーの登録済みデバイス (通常は携帯電話やタブレット) にプッシュ通知を送信したり、アプリ内で直接ワンタイムパスワードを生成したりできます。ユーザーは、これらのプッシュ通知にすばやく応答するか、ワンタイムパスワードを取得してログインを完了できます。 ユーザーは、Apple App Store または Google Play Store から Auth0 Guardian アプリをダウンロードできます。あるいは、Guardian SDK を使用して、独自のカスタムアプリに Auth0 Guardian の機能を組み込むこともできます。

プッシュ通知

プッシュ通知を使用するには、ユーザーのデバイスに Auth0 Guardian アプリまたは Guardian SDK を使用して構築したカスタムアプリのいずれかがインストールされている必要があります。ユーザーが認証を試みると、インストール済みのアプリにプッシュ通知が送信されます。ログインを完了するには、ユーザーがその通知に応答する必要があります。これにより、ユーザーがログイン情報を把握していることに加え、 用に設定されたデバイスを所持していることも証明されます。 Auth0 のプッシュ通知は、AWS Simple Notification Service (SNS) を使用して実装できます。また、ベンダー固有の統合を構成するために、以下のベンダー直結サービスの 1 つ以上を使用して実装することもできます。
  • Firebase Cloud Messaging (FCM)
  • Apple Push Notification (APN)
Auth0 Guardian のフロー図

プッシュ通知を登録する

Auth0 Guardian を使用してプッシュ通知を設定すると、ユーザーは初回のサインアップ時またはアプリケーションへのログイン時に、モバイルアプリのダウンロードを求められます。Guardian SDK を使用してカスタムアプリにプッシュ通知を実装している場合は、登録時にアプリケーションのダウンロードを求められることはありません。 プッシュ通知は、Security > Multi-factor Auth > Push Notification using Auth0 Guardian から有効にできます。
Auth0 Dashboard > Security > Multi-factor Auth > Push Notification using Auth0 Guardian
ユーザーが初めてアプリケーションにサインアップまたはログインすると、Universal Login に、Auth0 Guardian アプリまたはカスタム Guardian SDK アプリを第 2 の認証要素として登録するための QR コードが表示されます。ユーザーは、登録を完了するために、このコードを指定のアプリで短時間のうちにスキャンする必要があります。 ユーザーが登録を完了すると、プッシュ通知を認証要素として使用できるようになります。ユーザーがアプリケーションへのログインを試みるたびに、Auth0 Guardian またはカスタム Guardian SDK アプリを介して、ユーザーのデバイスにプッシュ通知が送信されます。アプリケーションへのログインを正常に完了するには、ユーザーがこのリクエストを承認する必要があります。 デバイスやリカバリーコードを紛失したユーザーの MFA をリセットする方法については、Reset Multi-Factor Authentication and Recovery Codes を参照してください。追加のサポートが必要な場合は、Troubleshooting Multi-Factor Authentication Issues を参照してください。

一時的なワンタイムパスワード

Auth0 Guardian アプリと Guardian SDK は、第2の認証要素として一時的な OTP の使用もサポートしています。アプリと SDK はどちらも一時的な OTP を生成でき、ユーザーはそれを使って の MFA チャレンジを完了できます。 デフォルトでは、Auth0 Guardian アプリにはユーザーが登録済みのアプリケーションが一覧表示されます。アプリケーションを選択すると、そのアプリケーションに対応する OTP が表示されます。各 6 桁の OTP の有効期間は 30 秒です。有効期限が近い OTP は赤色で表示されます。有効期限が切れると、アプリはすぐに新しい OTP を生成します。認証エラーを避けるため、ユーザーは赤色の OTP を使用しないでください カスタム Guardian SDK アプリでは、OTP の表示は異なる場合があります。

一時的なワンタイムパスワードを使用する

OTP は主に次の 2 つの方法で利用できます。
  • Auth0 Guardian アプリまたはその他のカスタムアプリにプッシュリクエストが届かない場合に、プッシュ通知のフォールバック手段として使用する。
  • テナントで One-Time Password factor を有効にしている場合に、MFA チャレンジとして使用する。
ユーザーが Auth0 Guardian またはその他のカスタムアプリでプッシュ通知を受信できない場合は、代わりに一時的な OTP を使用して MFA チャレンジを完了できます。ユーザーフローの例:
  1. ユーザーがアプリケーションへのログインを試みます。Universal Login の MFA プロンプトまでは進みますが、プッシュ通知を受信できません。
  2. MFA プロンプトで、ユーザーは Manually Enter Code ボタンを選択します。OTP を使用して認証するには、このオプションを選択する必要があります。
    Manually Enter Code ボタンが表示された MFA プロンプトの例
  3. ユーザーは Auth0 Guardian またはカスタム Guardian SDK アプリを開き、アクセスしようとしているアプリケーションを選択します。
  4. ユーザーは Account Detail ページの下部に表示される OTP をコピーします。
  5. ユーザーは MFA プロンプトに OTP を入力してチャレンジを完了します。
ユーザーが OTP を使用して認証できるようにするには、テナントの MFA factor として One-Time Password を有効にする必要があります。有効にすると、ユーザーは Universal Login 経由でログインする際に OTP を使って MFA プロンプトを完了できます。MFA factor を有効にするには、Auth0 Dashboard > Security > Multi-factor Auth に移動します。ユーザーは、初回のサインアップ時またはアプリケーションへのログイン時に、MFA factor として OTP を登録できます。使用するデバイスの種類に応じて、Universal Login には次のいずれかが表示されます。
  • モバイル以外のデバイスの場合: Universal Login には、ユーザーがスキャンして登録を続行できる QR コードが表示されます。
Trouble Scanning? リンクが表示された OTP 登録プロンプトの例
  • モバイルデバイスの場合: Universal Login では QR コードは表示されず、代わりに登録コードが直接表示されます。
モバイルデバイスに表示された一時的なワンタイムパスワード登録画面。
どちらの方法でも、ユーザーは画面上の手順に従って、Auth0 Guardian アプリまたはカスタム Guardian SDK アプリを第 2 の認証要素として登録できます。通常、このプロセスでは、ユーザーは該当するアプリにアプリケーションを追加し、そのアプリケーション用に生成された OTP を取得します。次に、ユーザーは Universal Login プロンプトに OTP を入力して登録プロセスを完了します。登録が完了すると、次回以降ユーザーがアプリケーションへのログインを試みる際には、Auth0 Guardian またはカスタム Guardian SDK アプリに表示される OTP をチャレンジに入力して認証できます。

Auth0 Guardian アプリの設定

ユーザーのセキュリティ設定

Auth0 Guardian アプリでは、iOS および Android で、アプリのセキュリティ対策としてパスコードや生体認証を有効にできます。ユーザーがこれらのオプションを 1 つ以上有効にすると、プッシュ通知への応答やワンタイムパスワードの取得を行う前に、それらの認証を完了する必要があります。 iOS または Android デバイスでこれらのオプションを有効にするには、以下の手順に従います。
iOS で Auth0 Guardian アプリのセキュリティ設定を有効にするには:
  1. アプリで 歯車アイコン を選択して設定メニューを開きます。
  2. Passcode を選択して、パスコード保護を有効にします。
  3. 6 桁のパスコードを設定し、確認します。
これでアプリはパスコードで保護されます。ユーザーは、プッシュ通知に応答したり OTP を取得したりする前に、このパスコードを入力する必要があります。パスコード保護を有効にすると、代替のセキュリティ手段としてデバイスの生体認証も設定できます。デバイスの生体認証を有効にするには:
  1. アプリで 歯車アイコン を選択して設定メニューを開きます。
  2. Face IDTouch ID など、利用可能なオプションのいずれかを選択して、デバイスの生体認証を有効にします。

ローカライズ オプション

Auth0 Guardian アプリは、iOS と Android で複数の言語と方言のローカライズをサポートしています。 設定メニューの [言語] セクションで、ユーザーは優先言語を選択できます。デフォルトでは、アプリはデバイスのシステム言語と同じ言語を使用します。
プッシュ通知の内容の大部分は、ユーザーの優先言語で表示されます。ただし、プッシュ通知のタイトルは翻訳されません。これは、タイトルが設定された後でないと言語設定が取得されないためです。
Auth0 Guardian アプリは、次の言語および方言をサポートしています。
言語コード
アルバニア語sq
アムハラ語am
アラビア語*ar
アラビア語 (エジプト) *ar-EG
アラビア語 (サウジアラビア) *ar-SA
アルメニア語hy
アゼルバイジャン語az
バスク語eu-ES
ベンガル語bn
ボスニア語bs
ブルガリア語bg
カタルーニャ語ca-ES
中国語 (香港)zh-HK
中国語 (簡体字)zh-CN
中国語 (繁体字)zh-TW
クロアチア語hr
チェコ語cs
デンマーク語da
オランダ語nl
英語en
英語 (カナダ)en-CA
エストニア語et
ファルシ語 (ペルシャ語) *fa
フィンランド語fi
フランス語fr-FR
フランス語 (カナダ)fr-CA
ガリシア語gl-ES
ジョージア語ka
ドイツ語de
ギリシャ語el
グジャラート語gu
ヘブライ語*he
ヒンディー語hi
ハンガリー語hu
アイスランド語is
インドネシア語id
イタリア語it
日本語ja
カンナダ語kn
韓国語ko
ラトビア語lv
リトアニア語lt
マケドニア語mk
マレー語ms
マラヤーラム語ml
マラーティー語mr
モンゴル語mn
モンテネグロ語cnr
ミャンマー語my
ノルウェー語no
ノルウェー語 (ブークモール)nb
ノルウェー語 (ニーノシュク)nn
ポーランド語pl
ポルトガル語 (ブラジル)pt-BR
ポルトガル語 (ポルトガル)pt-PT
パンジャブ語pa
ルーマニア語ro
ロシア語ru
セルビア語sr
スロバキア語sk
スロベニア語sl
ソマリ語so
スペイン語es
スペイン語 (アルゼンチン)es-AR
スペイン語 (ラテンアメリカ)es-419
スペイン語 (メキシコ)es-MX
スワヒリ語sw
スウェーデン語sv
タガログ語tl
タマジット語zgh
タミル語ta
テルグ語te
タイ語th
トルコ語tr
ウクライナ語uk
ウルドゥー語*ur
ベトナム語vi
ウェールズ語cy

Guardian アプリのテーマ

iOS と Android の両方で、Auth0 Guardian アプリはライトモードとダークモードのテーマに対応しています。 設定メニューの「Theme」セクションで、ユーザーは次のオプションを選択できます。
  • System: デフォルトのシステムテーマを使用します
  • Light: ライトモードを有効にします
  • Dark: ダークモードを有効にします

保護されたアプリケーションのカスタマイズオプション

ユーザーが Auth0 Guardian アプリで保護された各アプリケーションを見分けやすくするため、各アプリケーションには異なる名前、アクセントカラー、アイコンを設定できます。
Auth0 Guardian アプリでアプリケーションに既定で割り当てられる名前は、テナント名またはテナント設定で設定した Friendly Name によって決まります。同様に、既定のロゴはテナント設定で指定した Logo URL に基づいて設定されます。テナント設定を編集するには、Auth0 Dashboard > Settings > General に移動します。
保護されたアプリケーションをカスタマイズするには、次の手順を実行します。
  1. 一覧からアプリケーションを選択します。
    • ヒント: アプリケーションを左にスワイプして、Edit と Delete のオプションを表示することもできます。
  2. Account Detail ページで Edit を選択します。
  3. 必要に応じて、アプリケーションの名前、色、アイコンを更新します。
  4. Save を選択します。

Guardian SDK

Guardian SDK をインストール (iOSAndroid で利用可能) すると、ブランディングや外観を完全に制御しながら、独自の多要素認証アプリケーションを構築できます。Guardian SDK を使用すると、Guardian のように動作する独自のカスタムモバイルアプリケーションを構築したり、既存のモバイルアプリケーションにプッシュ通知の受信などの Guardian の機能を組み込んだりできます。代表的なユースケースとしては、銀行アプリが挙げられます。既存のモバイルアプリで Guardian SDK を使用すれば、ATM で取引が行われた際に、プッシュ通知を受信して承認できます。

Actions を使用して Auth0 Guardian で多要素認証を有効にする

Action 内で Auth0 Guardian を有効にするには、多要素認証を有効化する際に provider パラメーターに guardian を指定します。 
exports.onExecutePostLogin = async (event, api) => {
  api.multifactor.enable('guardian', { allowRememberBrowser: false });
};
ユーザーに毎回 Auth0 Guardian でのログインを求めるには、allowRememberBrowser: false を指定して Action を作成します。

Auth0 Guardian と Authorization Extension を使用した多要素認証

このテンプレートは、条件が満たされたときに、プッシュ通知で Auth0 Guardian の多要素認証をトリガーするための例および出発点を提供します。 初回ログイン時に、ユーザーはデバイスを登録できます。M の詳細については、「多要素認証を有効にする」を参照してください 
exports.onExecutePostLogin = async (event, api) => {
const groups = event.user.app_metadata.authorization.groups;
const GROUPS_WITH_MFA = {
// MFAが必要なグループをここに追加してください
// 例
admins: true
};

const needsMFA = !!groups.find(function (group) {
return GROUPS_WITH_MFA[group];
});

if (needsMFA) {
// 省略可能。デフォルトはtrue。毎回Guardian認証を強制するにはfalseに設定してください。
// 詳細はhttps://auth0.com/docs/secure/multi-factor-authentication/customize-mfa#change-frequency-of-mfa-prompts を参照してください
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}

};

詳細情報