メインコンテンツへスキップ
2024 年 2 月 21 日より、Auth0 はリダイレクトベースのログインフローの最大有効期間を 1 時間に制限します。完了までに 1 時間を超えるログインフローは、Universal Login と Classic Login のいずれでも失効します。

影響を受けるログインフロー

Auth0 では現在、以下のインタラクティブなログインフローについて、完了まで最大 3 日間かかることが許容されています。 2024 年 2 月 21 日より、Auth0 は、一覧にある の最大有効期間を 1 時間に制限します。トランザクションは 1 時間で期限切れになります。期限切れ後、エンドユーザーのブラウザーで行われる操作 (メールアドレスやパスワードの入力、Auth0 Actions へのリダイレクトなど) では、次のいずれかが発生します。
  • 新しいログイントランザクションでフローを再開するために、関連付けられたアプリケーションのデフォルトのログインルートにリダイレクトされます または
  • アプリケーションのデフォルトのログインルートを設定していない場合、または Classic Login を使用している場合は、エラーページが表示されます。ログイントランザクションを再開するには、エンドユーザーはアプリケーションに戻る必要があります。このエラーページは、 を使用してカスタマイズできます。

Actions

ログアウト後にユーザーをリダイレクトする場合は、Universal Login の /authorize エンドポイントに直接リダイレクトするのではなく、何らかのユーザー操作 (例: Login ボタンのクリック) によって再度ログインできるアプリケーションのページにリダイレクトしてください。ユーザーが明示的に開始していない新しいログイントランザクションを開始するパターンは、トランザクションの完了に時間がかかりすぎる主な原因です。新しいログイン試行がブラウザーウィンドウ内で放置され、悪意のある攻撃の対象となるおそれがあるためです。 Universal Login を使用している場合:
  • または Auth0 を使用して、アプリケーションのデフォルトのログインルートを設定することをお勧めします。この方法ではログイントランザクションが自動的に開始され、トランザクションの有効期限が切れると、アクティブなエンドユーザーのログインフローがシームレスに再開されるため、最も優れたユーザー体験を提供できます。
  • 構成上、デフォルトのログインルートを使用できない場合は、より良いユーザー体験を提供するために Auth0 のエラーページをカスタマイズすることをお勧めします。エラーページを使って、ログイン試行を再開するためにアプリケーションに戻るようユーザーに案内できます。
  • 上記のいずれも行わない場合は、Auth0 のデフォルトのエラーページが表示されます。
Classic Login を使用している場合は、どのケースでもトランザクションの有効期限が切れるとログインウィジェットにエラーが表示され、ユーザーはアプリケーションに戻って再度ログインを試行する必要があります。

テナントログを確認する

テナント内で影響を受けるトランザクション数とアプリケーション数をさらに詳しく把握するには、Auth0 Dashboard > Monitoring > Logs でテナントのログを確認してください。次の検索条件で Deprecation Notice ログを探します: type:depnote AND description:*Long*state*expirations*。この検索結果から、1 時間を超えて継続しているログイントランザクションと、それに対応するアプリケーション (つまり client_id) を特定できます。 これらのログにはレート制限があり、client_id ごとに 1 時間あたり 1 件のみ表示されます。

移行を確認する

デフォルトのログインルートを設定するか、Auth0 のエラーページをエンドユーザー向けの具体的な案内で更新したら、ログインの動作を確認するため、2024 年 2 月 21 日までの間はいつでも 1 時間の有効期限を有効化または無効化できます。
  1. Auth0 Dashboard > Tenant Settings > Advanced に移動し、Migrations セクションを探します。
  2. Long state expirations をオフにします。この設定を無効にすると、トランザクションの有効期間は 1 時間に制限されます。この設定を有効にすると、トランザクションの有効期間は最大 3 日間になります。