メインコンテンツへスキップ
Auth0 は、Authorization Code Flow を使用するすべてのネイティブアプリケーションに対して、Android App LinksApple Universal Links を使用した HTTPS ベースのコールバックへ移行することを推奨しています。これにより、セキュリティが向上し、アプリケーションのなりすましやフィッシング攻撃のリスクを軽減できます。 この仕組みがどのように攻撃を防ぐのかについては、アプリケーションのなりすまし対策 を参照してください。 2025 年 10 月 15 日より前に作成されたテナントでは、2026 年 4 月 28 日まで、従来の動作がデフォルトのまま維持されます。10 月の期限日以降に新しく作成されたテナントでは、各環境のデプロイ スケジュールによる一部の例外を除き、新しいログイン確認プロンプトがデフォルトで表示される場合があります。 明示的にオプトアウトしたテナントでは、このプロンプトは無期限にスキップされます。これは、2026 年 4 月 28 日以降、サービスで確認プロンプトがデフォルトの動作となり、“Unconfirmed Login with Non-Verifiable Callback URI Redirects” 移行トグルが削除された後も変わりません。

どのような影響がありますか?

すでにカスタム URI スキームまたはループバック URI コールバックを指定している、または今後指定する予定のあるクライアントアプリケーションでは、新しいログイン確認プロンプトで操作を行い、エンドユーザーがログインを明示的に確認する必要が生じる場合があります。この変更により、エンドユーザーはユーザー体験が低下したと感じる可能性があります。 また、検証できないコールバック URI を使用し、新しいログイン確認プロンプトを使用するよう構成されているアプリケーションでは、prompt=none を含む認証リクエストは拒否されます。

移行タスク

Auth0 は、Authorization Code Flow を使用するすべてのネイティブアプリケーションについて、可能な限り、Android App Links および Apple Universal Links を使用した HTTPS ベースのコールバックに移行することを強く推奨しています さらに、2026 年 4 月 28 日以降にデフォルトの動作が変更されるテナントでは、システムのデフォルト変更に先立って、カスタム URI スキームまたはループバック URI コールバックを使用する認証リクエストに対して必要な動作を明示的に選択してください。

アプリケーションで Non-Verifiable Callback URI が使用されているか確認する

Unconfirmed Login with Non-Verifiable Callback URI Redirects の移行トグルが利用可能で有効になっているテナントでは、カスタム URI スキームまたはループバック URI を指定する認証リクエストは、アプリケーションレベルまたはテナントレベルで次のオプションを明示的に設定していない限り、非推奨通知のテナントログを生成します skip_non_verifiable_callback_uri_confirmation_prompt これらのテナントログには、リクエストを実行したアプリケーションのクライアントIDが含まれます。これらのテナントログは、次のクエリを使用して Auth0 Dashboard から監視できます。 
type:depnotetype:depnote AND description:Unconfirmed\ Login\ with\ Non-Verifiable\ Callback\ URI\ Redirects*

新しいログイン確認プロンプトを事前に有効にする

カスタム URI スキームまたはループバック URI を使用する認証フローのセキュリティを強化するために、新しいログイン確認プロンプトを事前に有効にするには、Auth0 Dashboard で次の手順を実行します。
  1. Auth0 Dashboard > Tenant Settings > Advanced に移動します。
  2. Migrations セクションで、Unconfirmed Login with Non-Verifiable Callback URI Redirects トグルをオフにします。
Auth0 Dashboard > Tenant Settings > Advanced > トグルをオフ

新しいログイン確認プロンプトを無効にする

セキュリティ上の考慮事項を評価した結果、新しいログイン確認プロンプトを使用しないことにした場合は、特定のアプリケーションまたはテナント全体でこの新しい動作を無効にできます。これは Auth0 Dashboard から設定できます。 アプリケーション レベルの設定は、テナント レベルの設定より優先されます。意図しない動作変更を避けるため、テナント レベルの設定を変更する前に、アプリケーション固有の設定を構成してください。たとえば、特定のアプリケーションでは 検証不可のコールバック URI に対するエンドユーザー確認 をスキップしつつ、他のアプリケーションでは既定で表示するようにすることも、その逆にすることもできます。 特定のアプリケーションで無効にするには:
  1. Auth0 Dashboard > Applications > Settings > Advanced Settings > OAuth に移動します。
  2. 検証不可のコールバック URI に対するエンドユーザー確認 トグルを見つけて無効にし、Save を選択します。この設定を永続的に管理できるようにするには、Override the tenant setting オプションを選択する必要がある場合があります。
Auth0 Dashboard > Applications > Settings > Advanced
テナント全体で無効にするには:
  1. Auth0 Dashboard > Tenant Settings > Advanced に移動します。
  2. Login and Logout セクション内の 検証不可のコールバック URI に対するエンドユーザー確認 トグルを見つけて無効にし、Save を選択します。この設定を永続的に管理できるようにするには、Turn on を選択する必要がある場合があります。
Auth0 Dashboard > Tenant Settings > Advanced
必要なテナントの動作は、Auth0 Management API を使用して構成することもできます。具体的には、次の 2 つのレベルで構成できます。
  • テナント レベルの構成: Update Tenant Settings エンドポイントで skip_non_verifiable_callback_uri_confirmation_prompt プロパティを設定することで、確認プロンプトの動作を管理できます。
  • アプリケーション レベルの構成: 特定のアプリケーションについてテナント レベルの設定を上書きするには、Update Client エンドポイントで同じ skip_non_verifiable_callback_uri_confirmation_prompt プロパティを設定します。
アプリケーションの構成に関する追加情報とガイダンスについては、Measures Against Application Impersonation を参照してください。