非推奨事項と移行

現在、以下に記載されているすべての非推奨事項について、お客様を新しい動作に積極的に移行しています。サービスの中断を回避するため、必要な対応が完了していることを確認できるよう、内容をよく確認してください。非推奨機能の使用によって発生したエラーは、テナントログを検索して確認することもできます。詳細については、非推奨エラーのログを検索するを参照してください。ご不明な点がある場合は、Communityにアクセスするか、Support Center でチケットを作成してください。詳細については、移行プロセスも参照してください。

サードパーティアプリケーション向け強化セキュリティ

非推奨: 2026年4月23日 サポート終了: 2026年10月23日 Auth0 は、OAuth 2.1 のベストプラクティスに準拠した、サードパーティアプリケーション向けの強化されたセキュリティ制御を導入します。サポート終了日以降、third_party_security_mode を指定せずに POST /api/v2/clients で新しいサードパーティアプリケーションを作成すると、Auth0 は強化されたセキュリティ制御 (strict) を自動的に適用します。この変更の対象となるのは、2026年4月23日以前からサードパーティアプリケーションを使用していたテナントのみで、影響を受けるのは新規作成されたアプリケーションに限られます。既存のサードパーティアプリケーションは、現在と同様に引き続き動作するため、変更は不要です。強化された制御には、明示的な API 認可、PKCE の必須化、そして OAuth 2.1 とセキュリティのベストプラクティスに沿った必要最小限の機能セットが含まれます。この変更に備えるには、Migrate to Enhanced Security for Third-Party Applications を確認して、自身が影響対象かどうかを確認し、デフォルトの API 権限を設定したうえで、移行方法を選択してください。

接続で有効なクライアントのレガシー管理

非推奨: 2026年1月13日 サポート終了: 2026年7月13日 Management API の接続オブジェクト内の enabled_clients フィールドは、次の場合に非推奨となります。

(GET - /api/v2/connections) を使用した複数の接続の取得。
(GET - /api/v2/connections/{id}) を使用した接続の取得。
(PATCH - /api/v2/connections/{id}) を使用した接続の更新。

非推奨となる機能の代替として、2 つの新しい Management API エンドポイントを利用できます。

この変更に備え、統合が引き続き円滑に機能するよう、Migrate Enabled Client Management to Dedicated Connection Endpoints を確認し、影響の有無を確認したうえで、新しいエンドポイントに移行してください。

脆弱な TLS 1.2 暗号スイート

非推奨: 2025年12月10日 サポート終了: 2026年6月10日サポート終了日以降、Auth0 のサービスエンドポイントおよび Web アプリケーションに接続する際は、最新の暗号スイートの使用が必須になります。ネットワーク通信を保護するための十分な安全性を提供しなくなった TLS 1.2 暗号スイートのサポートは廃止されます。具体的には、サポート対象の暗号スイートの変更は次に適用されます。

パブリッククラウドおよびプライベートクラウドのテナントのデフォルトドメイン。例: [tenant_name].eu.auth0.com.
- パブリッククラウドおよびプライベートクラウドのテナントのカスタムドメイン。
- Dashboard (manage.auth0.com) や Marketplace (marketplace.auth0.com) などのサービス関連 Web アプリケーション。
- Auth0 Content Delivery Network (CDN) 。詳細については、Auth0 Public Cloud Service Endpoints を参照してください。

廃止される暗号スイートの一覧を以下に示します。この一覧には、各暗号スイートを識別する一意の 16 進コードと、その IANA 名が記載されています。対応する OpenSSL 名については、ciphersuite.info へのリンクを参照してください。削除予定の TLS 1.2 暗号スイート:

0xC0, 0x09 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x0A - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x23 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x24 - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- 0xC0, 0x13 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x14 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x27 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x28 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- 0x00, 0x9C - TLS_RSA_WITH_AES_128_GCM_SHA256
- 0x00, 0x2F - TLS_RSA_WITH_AES_128_CBC_SHA
- 0x00, 0x9D - TLS_RSA_WITH_AES_256_GCM_SHA384
- 0x00, 0x35 - TLS_RSA_WITH_AES_256_CBC_SHA
- 0x00, 0x3C - TLS_RSA_WITH_AES_128_CBC_SHA256
- 0x00, 0x3D - TLS_RSA_WITH_AES_256_CBC_SHA256

SSO なしで組織名の入力を求める

非推奨: 2025年10月31日 サポート終了: 2026年5月1日ビジネスユーザーに関連付けられたクライアントアプリケーションのコンテキストで開始され、ログインフローの開始時に組織の入力を求めるよう設定されたログインフロー (organization_usage=require、organization_require_behavior=pre_login_prompt) では、既存の認証済みセッションが考慮されます。従来、サービスはユーザーに組織名の入力を求め、その後ユーザーはログインを完了する必要がありました。たとえば、パスワードベースのアカウントを持つユーザーは、選択した組織に対して認証済みセッションが有効であっても、認証情報を再入力する必要がありました。 非推奨: 2025年10月28日 サポート終了: 2026年4月28日 Auth0 では、セキュリティを強化し、アプリケーションのなりすましやフィッシング攻撃のリスクを軽減するため、Authorization Code Flow を使用するすべてのネイティブアプリケーションで、可能な限り Android App Links および Apple Universal Links を使用した HTTPS ベースのコールバックへ移行することを推奨しています。さらに Auth0 は、コールバックとしてカスタム URI スキームまたはループバック URI を使用する認証リクエスト向けに、新しいログイン確認プロンプトを導入しています。このプロンプトは、以前はユーザーの操作なしでレスポンスが返されていたケースで表示されます。詳細については、Migrate to Non-Verifiable Callback URI End-User Confirmation を参照してください。

Private Key JWT 認証のオーディエンス検証

非推奨: 2025年10月6日 サポート終了: 2025年4月8日クライアントアプリケーション認証に使用される JWT アサーションを検証する際、Auth0 は要件をより厳格にし、aud (オーディエンス) クレームでは、テナントの Issuer 識別子のみを単一の JSON 文字列値として受け入れるようになります。以下のいずれかの方法で aud クレームを指定することは非推奨となっており、サービスはサポート終了日以降、これらの方法をサポートしなくなります。

JSON 文字列の配列。この場合、いずれかの要素に、クライアントの認証先となる該当テナントおよびエンドポイントの有効な Issuer 識別子またはエンドポイント URL が含まれていること。
クライアントの認証先となる該当テナントおよびエンドポイントの有効なエンドポイント URL を表す、単一の JSON 文字列。

サポート終了日に先立ち、アップストリーム IDプロバイダーへの認証済みリクエストで Private Key JWT を使用するよう設定された OIDC エンタープライズ接続では、JWT アサーションに含まれる aud クレームで、該当する Issuer 識別子を JSON 文字列として使用できるようになります。

Azure Active Directory (v1) Identity API 接続の拡張属性

非推奨: 2025年6月18日 サポート終了: 2025年9月1日 Azure AD Graph の非推奨化と、予定されている提供終了に伴い、Auth0 は、Azure Active Directory (v1) Identity API を使用するよう構成された Microsoft Azure AD (strategy=waad) 接続で、拡張属性に関するオプションを有効にする機能のサポートを終了します。メールで通知を受け取った場合は、1 つ以上のテナントに、Azure Active Directory (v1) Identity API を対象とし、拡張属性を取得するように構成された Microsoft Azure AD 接続があり、影響を受ける可能性があります。該当するテナントを確認する必要があります。非推奨の機能に依存している接続については、次のいずれかを実施する必要があります。

接続の対象を Microsoft Identity Platform (v2) に更新し、拡張属性情報の取得時に、非推奨の Azure AD Graph ではなく Microsoft Graph のエンドポイントを使用するようにします。
すべての拡張属性オプションを無効にします。

上記の 2 番目の方法を選択すると、拡張情報が不要な場合は Azure Active Directory (v1) Identity API を対象とする接続を引き続き維持できますが、一般的には Microsoft Identity Platform (v2) を対象にすることを推奨します。詳細については、アプリを Microsoft Azure Active Directory に接続するを参照してください。非推奨化の詳細については、Auth0 サポートにお問い合わせください。

Real-Time Webtask Logs Extension

非推奨: 2025年6月18日 サポート終了: 2025年9月16日 Real-time Webtask Logs extension は非推奨であり、2025年9月16日以降にサポート終了 (EOL) となる予定です。代替として、Actions リアルタイムログ機能を Auth0 Dashboard 内で直接利用できます。この extension は新規インストールでは利用できなくなりますが、すでにインストールしているテナントは、予定されている EOL まで引き続き利用できます。

Actions で特定のイベントリクエストプロパティへのアクセスを削除

非推奨: 2025年6月18日 サポート終了: 2025年9月16日 Auth0 は、post-login および credentials-exchange トリガーで Actions を実行する際に、event.request.query オブジェクトおよび event.request.body オブジェクト内の追加のプロパティ名へのアクセスを制限します。制限対象となる予定のリクエストプロパティを参照するために Actions を使用していることが確認されたテナントのみ、2025年9月16日 まで引き続きアクセスできます。このサービスでは、リクエスト関連オブジェクト内の次のプロパティ名へのアクセスを制限します。

auth_session
authn_response
client_secret
client_assertion
refresh_token

Custom Phone Provider トリガーおよび Custom Email Provider トリガーでの複数の Actions

非推奨: 2025年6月16日 サポート終了: 2025年12月16日 Auth0 では、次のトリガーに関連付けられた Actions について、作成できる Action の上限を 1 つにします。

custom-phone-provider
custom-email-provider

この制限は、Management API の Action を作成エンドポイント (POST - /api/v2/actions/actions) に適用されます。この新しい上限が特定のテナントに適用されると、これらのトリガーに対して複数の Action を作成しようとした場合、作成は失敗します。

カスタマイズ不可の Brute-force Protection ブロック解除メールフロー

非推奨: 2025年6月9日 サポート終了: 2025年12月9日 Brute-force Protection のメールベースのブロック解除フローの更新版が利用可能になりました。この更新版は、Universal Login によるカスタマイズとローカライズに対応しており、メールセキュリティスキャナーがブロック解除メールを処理する場合のユーザー体験も改善されます。

Authentication API エラーレスポンスの `fromSandbox` フィールド

非推奨: 2025年6月11日 サポート終了: 2025年12月11日 Authentication API のエラーレスポンスでは、カスタムデータベーススクリプトの呼び出しが必要なフローにおいて、今後 fromSandbox フィールドは返されなくなります。たとえば、カスタムデータベース接続のエンドユーザー向けサインアップフローにおける API エラーレスポンスでも、このフィールドは返されなくなります。 非推奨: 2025年5月13日 サポート終了: 2025年11月13日 /api/v2/emails/provider エンドポイント に PATCH リクエストを送信して SMTP メールプロバイダーのホスト、ポート、またはユーザー名を更新する場合は、credentials.smtp_pass フィールドにパスワードを指定する必要があることがあります。 SMTP メールプロバイダーの認証情報オブジェクトでは、次のフィールドをサポートしています。

credentials.smtp_pass: SMTP メールプロバイダーのパスワード
credentials.smtp_host: SMTP メールプロバイダーのホスト
credentials.smtp_port: SMTP メールプロバイダーのポート
credentials.smtp_user: SMTP メールプロバイダーのユーザー名

Auth0 では、次の場合に credentials.smtp_pass フィールドへ明示的に値を指定する必要があります。

SMTP メールプロバイダーの credentials.smtp_host、credentials.smtp_port、または credentials.smtp_user フィールドを既存の値とは異なる値に更新する場合、またはこれら 3 つのフィールドの一部だけを更新する場合。

Auth0 では、次の場合に credentials.smtp_pass フィールドへ明示的に値を指定する必要はありません。

SMTP メールプロバイダーを更新する際に、リクエストボディに credentials.smtp_host、credentials.smtp_port、credentials.smtp_user フィールドの既存の値と同じ値が含まれている場合。

Connections Management API における無制限のオフセットベースページネーション

非推奨: 2025年4月29日 サポート終了: 2025年10月27日 Management API の get all connections エンドポイントで提供されているオフセットベースのページネーションでは、今後、最初の 1000 件を超える接続のページ化された結果を取得できなくなります。たとえば、page=30&per_page=50 または page=15&per_page=100 を使用すると、サービスはエラーレスポンスを返します。どちらの場合も、1 ページあたりに要求するレコード数に、要求したページインデックスに 1 を加えた値 (ページインデックスが 0 始まりであるため) を掛けると、リクエスト対象が最初の 1000 件の接続を超えます。上記のとおり、ページサイズが 50 の場合、エラーなしで要求できる最後のページインデックスは 19 (page=19&per_page=50) です。また、最大ページサイズの 100 の場合は、ページインデックス 9 (page=9&per_page=100) まで要求できます。制限を超える条件では、リクエストに関連付けられたテナントの接続数が 1000 件未満であっても、エラーが発生します。

Node.js 12 および 16 の拡張機能ランタイム

非推奨: 2025年2月10日 サポート終了: 2025年8月15日 Node.js 12 および 16 の拡張機能ランタイムは、Auth0 の各テナントで段階的に利用できなくなります。削除されると、Actions、Rules、Hooks、カスタムデータベース接続、カスタムソーシャル接続など、すべての拡張機能統合は Node 22 での実行に強制的に切り替えられます。 Node 22 への移行に関連する技術リソースについては、Node 12 および 16 から Node 18 への移行およびNode 18 から Node 22 への移行を参照してください。

接続オプションで新たに必要となる Management API スコープ

非推奨: 2024年10月24日 サポート終了: 2025年7月8日以下の Management API エンドポイントへのリクエストでは、options フィールドを表示するために read:connections_options スコープが必要になります。

以下の Management API エンドポイントへのリクエストでは、options フィールドを変更するために update:connections_options スコープが必要になります。

Connections > 接続を更新

Rules と Hooks の非推奨化

非推奨: 2023年5月16日 読み取り専用への移行: 2024年11月18日 提供終了: 2026年11月18日 2026年11月18日以降、Rules と Hooks は実行されなくなり、削除されます。 2024年11月18日以降も、有効な Rules と Hooks は引き続き実行されますが、読み取り専用モードになります。Auth0 は、Rules と Hooks 機能の削除を将来の時点まで延期しました。読み取り専用になった Rules と Hooks は、有効化と無効化、およびそれぞれの設定値またはシークレットの変更は可能ですが、Dashboard や Management API (Terraform や Auth0 Deploy CLI などの CI/CD ツールを含む) を介してソースコードを編集することはできません。読み取り専用への移行までに Actions へ移行できない場合は、テナント設定の変更をデプロイするよう構成した自動 CI/CD フローで、Rules と Hooks に対する未サポートの管理操作を実行しないようにしてください。詳細については、Rules から Actions への移行および Hooks から Actions への移行を参照してください。 非推奨: 2024年8月23日 サポート終了: 2025年7月31日 Auth0 は、でレガシーの非準拠 UI を使用する機能を廃止します。新しい WCAG 準拠バージョンにより、支援技術を利用するユーザーを含むエンドユーザーが、顧客の製品やサービスにアクセスして利用できるようになります。詳細については、Universal Login のアクセシビリティに関するドキュメントを参照してください。

​サードパーティアプリケーション向け強化セキュリティ

​接続で有効なクライアントのレガシー管理

​脆弱な TLS 1.2 暗号スイート

​SSO なしで組織名の入力を求める

​検証不能なコールバック URI へのリダイレクトにおける未確認ログイン

​Private Key JWT 認証のオーディエンス検証

​Azure Active Directory (v1) Identity API 接続の拡張属性

​Real-Time Webtask Logs Extension

​Actions で特定のイベントリクエストプロパティへのアクセスを削除

​Custom Phone Provider トリガーおよび Custom Email Provider トリガーでの複数の Actions

​カスタマイズ不可の Brute-force Protection ブロック解除メールフロー

​Authentication API エラーレスポンスの fromSandbox フィールド

​SMTP メールプロバイダーのホスト関連の変更でパスワードの省略を許可

​Connections Management API における無制限のオフセットベース ページネーション

​Node.js 12 および 16 の拡張機能ランタイム

​接続オプションで新たに必要となる Management API スコープ

​Rules と Hooks の非推奨化

​Universal Login の WCAG 2.2 AA 準拠 UI を有効にする

​詳しく見る