Skip to main content
2021年12月1日に、ログアウト時の動作が変更され、ログアウトの実行中に から /login/callback に渡される returnTo クエリパラメーターではなく、Auth0 のログアウト API に渡された URI に常にユーザーがリダイレクトされるようになります。使用される URI は、セッションのログアウトを要求するために呼び出す API によって異なります。
  • https://{yourDomain}/logout: Auth0 は returnTo パラメーターを使用します
  • https://{yourDomain}/v2/logout?federated: Auth0 は returnTo パラメーターを使用します
  • https://{yourDomain}/wsfed/{yourClientId}?wa=wsignout1.0: wreply パラメーターを使用します
Auth0 にこれらの API のいずれかが事前に呼び出された記録がない場合、ログアウト自体は完了しますが、リダイレクトは行われず、エンドユーザーにはエラーページが表示されます。

影響を受けるエンドポイント

この変更の影響を受けるエンドポイントは次のとおりです。 以下の利用パターンに依存しているテナントは、2021 年 12 月 01 日以降、意図したリダイレクト URI にリダイレクトできなくなります。
  1. Logout URL を指定するための /v2/logout または /wsfed/{yourClient}?wa=wsignout1.0 への先行呼び出しなしに、/login/callback?returnTo を呼び出すアプリケーション。
  2. /v2/logout または /wsfed/{yourClientId} への先行呼び出しで最初に指定した値とは異なる値を returnTo に設定して、/login/callback?returnTo を呼び出す IDプロバイダー。
  3. 影響を受ける API のいずれかに対して、呼び出しごとに異なるリダイレクト URI を指定しながら同時に呼び出しを行うアプリケーション。
  4. /v2/logout または /wsfed/{yourClientId}?wa=wsignout1.0 への先行呼び出しの有無にかかわらず、/authorize API への呼び出しを、影響を受ける API のいずれかへの呼び出しと同時または交互に行うアプリケーションまたはユーザー。

Actions

  1. Auth0 Dashboard > Monitoring > Logs に移動し、type:depnote AND description:*unvalidated*redirects* を検索して、非推奨の動作に依存しているアプリケーションを特定します。
  2. 影響を受ける各アプリケーションについて、次の点を確認します。
    1. アプリケーションまたは Relying Party が、Auth0 の公開 API のいずれかを使用してログアウトを開始していること。Authentication API: Logout または Authentication API: WS-Federation を使用します。
    2. アプリケーションが、/login/callback?returnTo に返される Logout URL を IDプロバイダーが変更する動作に依存していないこと。今後、こうした変更は反映されません。
    3. アプリケーションが、異なる Logout URL を使用してログアウト API を同時に呼び出していないこと。Auth0 では、ユーザーエージェントごとに同時点で 1 つの Logout URL しか保存されないため、ログアウト処理を並行して実行するとリダイレクトに失敗します。
    4. アプリケーションが、/authorize への呼び出しをログアウト API への呼び出しと同時に、または交互に実行していないこと。ログイン トランザクションが完了すると、ユーザーエージェント用に保存されていた Logout URL がクリアされるため、ログアウト処理を並行して実行するとリダイレクトに失敗します。
    5. アプリケーションとユーザーが、/authorize への呼び出しを、影響を受ける API のいずれかへの呼び出しと交互に実行していないこと。
移行対応の完了とテストが済んだら、移行が正しく行われたことを検証してください。

移行を確認する

アプリケーションの移行が完了し、非推奨の使用方法にもう依存していないことを確認できたら、2021年12月01日より前の任意の時点で非推奨の動作を無効にし、変更内容を検証してください。
  1. Auth0 Dashboard > Tenant Settings > Advanced に移動し、Migrations セクションを見つけます。
  2. Unvalidated redirects from /login/callback スイッチを無効にします。このスイッチをオフにすると、テナントにおける非推奨の動作が無効になり、使用できなくなります。
このスイッチを無効にしたあとで Logout URL へのリダイレクトが想定どおりに機能しない場合は、アプリケーションがまだ非推奨の動作に依存していることを示しています。 本番環境で移行が正常に実施され、確認できたら、非推奨の機能が今後使用されないよう、このスイッチを恒久的に無効にできます。2021年12月01日に、Auth0 は関連するスイッチとともに非推奨の動作を完全に削除します。