メインコンテンツへスキップ
Unified Phone Experience では、テナント内のすべての電話プロバイダー設定を 1 か所に集約できるため、さまざまな電話認証要素ごとに同じ電話プロバイダーを何度も設定する必要がありません。詳細については、MFA 向けに Auth0 の Unified Phone Experience を使用するを参照してください。
認証要素として SMS または音声を使用する場合、エンドユーザーがアプリケーションへの認証を試みると、SMS または音声で code が送信され、トランザクションを完了するにはその code を入力する必要があります。つまり、ユーザーはログイン資格情報を把握しているだけでなく、 用に登録したデバイスを所持している必要があります。 SMS と音声の認証要素は、Dashboard または を使用して設定でき、SMS や音声でメッセージを送信したり、エンドユーザーが code の受信方法を選択できるようにしたりできます。配信プロバイダーを Actions で設定することも、Twilio アカウントを設定することもできます。エンドユーザーに SMS のみを送信する場合は、Auth0 のデフォルトのメッセージ配信サービスを設定することもできます。MFA の音声通知を有効にするには、 を使用する必要があります。

利用可否は Auth0 プランによって異なります

この機能を利用できるかどうかは、使用しているログイン実装と Auth0 プラン、またはカスタム契約の内容によって異なります。詳細については、Pricingを参照してください。

動作の仕組み

SMS と音声を有効にすると、ユーザーは SMS または音声で code を受け取る方法を選んで登録できます。
MFA の SMS と音声の設定 - ユーザー体験(音声)
SMS のみを有効にした場合、フローはよりシンプルになります。
MFA の SMS と音声の設定 - ユーザー体験(SMS)
ユーザーの登録が完了すると、次回認証時に登録済みの電話番号へ音声通話または SMS メッセージが送信されます。

Dashboard を使用する

  1. Dashboard > Security > Multi-factor Auth に移動します。
  2. Phone Message をクリックし、画面上部のトグルスイッチを有効にします。
  3. 使用するメッセージ配信プロバイダーを選択します。
  4. ユーザーが SMS と音声で認証できるようにするには、SMS と音声の認証要素を有効にし、使用する配信方法を選択する必要があります。
    1. Auth0: このプロバイダーでは音声メッセージを送信できません。Auth0 で内部設定された SMS 配信プロバイダーを使用して SMS メッセージを送信します。評価およびテスト目的でのみ使用でき、テナントの全期間を通じて、送信できるメッセージはテナントごとに最大 100 件までです。100 件の上限に達すると、新しい code は受信されなくなります。
    2. Twilio: SMS には Twilio Programmable SMS API、音声には Twilio Programmable Voice API を使用してメッセージを送信します。Test Credentials ではなく、Twilio Life Credentials を使用してください。Test Credentials は、本番環境でメッセージを送信するためだけに使用するものです。
    3. Custom: Send Phone Message Flow の Action を呼び出してメッセージを送信します。
    また、ユーザーが SMS テキストメッセージ、音声通話、またはその両方を受け取れるように設定することもできます。

Twilio の設定

注意: Twilio では、番号の一括移管と確認に最大 8 週間かかる場合があります。詳しくは、Twilio Help Center を参照してください。
Twilio 経由で SMS を配信する場合は、次の手順に従って SMS 認証要素を設定します。
  1. Twilio でアカウントを作成します。Twilio Account SIDTwilio Auth Token が必要です。これらは、Auth0 がユーザーに SMS を送信する際に使用する Twilio API の認証情報です。
  2. 地理的リージョンに応じて、SMS または 音声 の Permissions を有効にする必要がある場合もあります。音声 を使用する場合、アカウントには音声通話を発信できるよう有効化された Twilio の電話番号が必要です。これは Twilio で確認済みの 外部の電話番号でもかまいません。または、アカウント内から Twilio の電話番号を購入して設定することもできます。
  3. 接続を設定します。Dashboard > Security - Multi-factor Auth に移動し、Phone Message を選択します。
  4. Choose your delivery providerTwilio を選択し、配信方法を選択します。
  5. Twilio Account SIDTwilio Auth Token を対応するフィールドに入力します。
  6. SMS Source を選択します。
    1. Use From を選択した場合、ユーザーに SMS の送信元として表示される From の電話番号を入力する必要があります。これは Twilio 側で設定することもできます。
    2. Use Messaging Services を選択した場合は、Messaging Service SID を入力する必要があります。
    3. 音声 を使用している場合は、SMS に Message Services を使用していても、必ず From を設定する必要があります。その電話番号が SMS と音声メッセージの両方を送信できるよう設定されていることを確認してください。
  7. Save をクリックします。

SMS または音声メッセージのテンプレートをカスタマイズする

SMS や音声メッセージのテンプレートはカスタマイズできます。詳しくは、SMS と音声メッセージのカスタマイズを参照してください。

Management API を使用する

Management API を使用すると、/api/v2/guardian/factors/phone/message-types エンドポイントで、有効にするメッセージの配信方法を設定できます。message_types パラメーターは配列で、["sms"]["voice"]、または ["sms", "voice"] を指定できます。API を呼び出すには、ベアラートークンとして update:guardian_factors スコープを持つ Management API アクセストークン が必要です:

統合済みの SMS メッセージングプロバイダー

Auth0 では、デフォルトで Twilio を介したメッセージ送信がサポートされています。ただし、別の SMS プロバイダーを使用したり、メッセージ送信前に特定のロジックを追加したり、ユーザーやアプリケーションに応じて異なるメッセージを送信したりすることもできます。これを行うには、Send Phone Message Flow で、統合済みの Actions のいずれかを使用するように SMS MFA を設定します。 統合済みの SMS メッセージングプロバイダーには、次のものがあります。

カスタム電話プロバイダー

Actions を使用して、カスタム電話プロバイダーを設定することもできます。詳細については、カスタム電話プロバイダーを設定するを参照してください。

セキュリティに関する考慮事項

電話メッセージングプロバイダーを使用する場合は、サインアップフローを悪用する攻撃者によって金銭的被害が発生するおそれがあることに注意してください。 Auth0 では、1 人のユーザーが送信できる SMS または音声メッセージは 1 時間あたり最大 10 件までに制限されています。また、メールアドレスまたは認証器による OTP フローは、5 分あたり 5 件までに制限されています。 (バーストレートは 10 ですが、新規リクエストとして送信される音声メッセージは 1 時間あたり 1 件のみです。) アカウントをさらに保護するため、次の対策を検討してください。
  • Suspicious IP Throttling を有効にします。Auth0 は、1 分間に 50 件を超えるサインアップリクエストを試みた IP をブロックします。
  • Log Streaming を有効にし、gd_send_voicegd_send_voice_failuregd_send_smsgd_send_sms_failure のいずれかのログイベント数が急増した場合に、お使いの監視ツールでアラートを作成します。
電話メッセージングプロバイダー側にも追加の保護機能があります。Twilio を使用している場合は、Twilio’s Anti-Fraud Developer Guide を参照してください。次のオプションも検討してください。
  • SMSVoice について、メッセージの送信先となる国を制限します。これは、通常ビジネスを行っていない国の中に、toll fraud のリスクが高い国や通話料金が高額な国がある場合に特に有効です。
  • 不正利用やコーディングミスからアカウントを保護するため、Twilio の usage triggers を有効にします。

詳細