ユニバーサルログインエクスペリエンス

​

ユニバーサルログインの特徴および機能

​

Customization（カスタマイズ）

• ページテンプレートで、ログインフロー内のすべてのページにLiquidテンプレートを指定できます。
• カラー、フォント、カスタムロゴURLなどのページブランディングを、Auth0 Dashboardの非コードエディターや、Management APIブランディングエンドポイントを使用してカスタマイズできます。
• ファビコンURLは、Auth0 Management APIのブランディングエンドポイントを使用して構成できます。
• ページテキストはAuth0 DashboardまたはManagement APIを使って構成できます。詳細については、「ユニバーサルログインのテキスト要素のカスタマイズ」を参照してください。
• Auth0 Management APIを使用してサインアップとログインのプロンプトをカスタマイズできます。詳細については、「サインアップとログインプロンプトのカスタマイズ」を参照してください。

​

ログイン

• デバイス生体認証を使ったWebAuthnでパスワードレスを使用できます。
• ソーシャルプロバイダー用の開発キーを使用する場合：
  • シングルサインオン（SSO）およびサイレント認証は正しく機能します。クラシックログインエクスペリエンスではサポートされていません。
  • ユーザーのログインページには、テナントが開発キーを使って構成されていることを示す警告が表示されます。
• 各ソーシャル接続およびエンタープライズ接続ごとにボタンが表示されます。
• ユーザーを/loginページに直接リダイレクトする場合は、デフォルトのログインルートが構成されていない限り、ユーザーはエラーを受け取ります。詳細については、「デフォルトのログインルートを構成する」をお読みください。ユーザーを常に適切な認可要求エンドポイントにリダイレクトしなければなりません（たとえば、OpenID Connectを使用している場合は/authorize）。
• Auth0にリダイレクトするときにlogin_hintを指定でき、この情報を使用して、ログインまたはサインアップページのログインフィールドに入力することができます。
• パスキーは、データベース接続の認証方法として利用可能です。パスキーは、従来の認証要素（識別子/パスワードなど）よりもフィッシング耐性が高く、より簡単かつ安全なログインエクスペリエンスをユーザーに提供します。詳細については、「パスキー」をご覧ください。

​

サインアップ

• ユーザーがログインページではなくサインアップページに直接アクセスできるようにするには、/authorizeにリダイレクトするときにscreen_hint=signupパラメーターを指定します。このパラメーターとprompt=loginを組み合わせて、認証ページを常に表示するか、または既存のセッションが存在する場合はページをスキップするかを指示できます。

​

多要素認証

• ユーザーが複数のMFA要素（たとえば、SMSおよびプッシュ通知）を登録している場合は、ユニバーサルログインのMFAページで、ユーザーは好みのオプションを選択できます。
• MFA要素として音声またはメールを使用できます。詳細については、「MFAのためにSMSと音声通知を構成する」と「MFA要素」を参照してください。
• Guardian SDKを使用してプッシュ通知を処理する独自のネイティブアプリケーションを作成する場合は、Dashboard >［Security（セキュリティ）］>［Multi-Factor Auth（多要素認証）］セクションの ［Push via Auth0 Guardian（Auth0 Guardianを介したプッシュ）］ オプションでアプリケーションの名前とURLを構成して、ダウンロードできます。
• MFAプロバイダーをgoogle-authenticatorに設定したルールがある場合は、Dashboard >［Security（セキュリティ）］>［Multi-Factor Auth（多要素認証）］セクションでOTP要素を有効にする必要があります。
• MFAのためにWebAuthnを使用できます。
• Actionsを使用することで、MFAフローをカスタマイズし、指定要素または要素のシリーズでユーザーにチャレンジできます。ロールや組織メンバーシップなどのユーザーメタデータを利用して、より個別化されたエクスペリエンスを作成することもできます。詳細については、「ユニバーサルログインのMFA選択をカスタマイズする」をご覧ください。

​

パスワードリセット

• ユニバーサルログインエクスペリエンスでは、成功するとユーザーをデフォルトのログインルートにリダイレクトし、ユニバーサルログインフローの一部としてエラーケースを処理します。メールテンプレート内のリダイレクトURLは無視されます。リダイレクトURLが機能するように、Dashboard >［Applications（アプリケーション）］>［Applications（アプリケーション）］ ［Settings（設定）］ タブに ［Application Login URI（アプリケーションログインURL）］ を提供する必要がありますのでご注意ください。
• データベース接続に ［Require Username（ユーザー名の要求）］ が設定されている場合は、パスワードリセットフローが、ユーザーにユーザー名の入力を促し、関連するメールアドレスにパスワードリセットのメールを送信します。詳細については、「データベース接続へのユーザー名の追加」を参照してください。
• Actionsを使用して、パスワードリセットフローに2番目のチャレンジを組み込むことができます。特に、post-challengeトリガーを使用すると、ユーザーが最初のステップ（通常はパスワードリセットメール内のリンク）を完了した後、新しいパスワードを作成する前に追加のチャレンジをユーザーに提示できます。このトリガーを使用すると、ユーザーをサードパーティ検証ツールなどの外部サイトにリダイレクトしたり、追加のMFA要素でユーザーに情報の入力を求めたりできます。ユーザーがパスワードを更新するには、この2番目のチャレンジを完了する必要があります。
  • 注意 ：パスワードリセットフロー中にユーザーに表示されるMFAプロンプトはカスタマイズできます。詳細については、「ユニバーサルログインのテキストプロンプトのカスタマイズ

​

カスタムデータベース接続

• パスワード変更スクリプトからエラーが返された場合でも、パスワードリセットフローは正しく機能します。
• ValidationErrorsまたはWrongUsernameOrPasswordErrorで返されたエラーは、対応するページに表示されます。詳細については、「カスタムデータベースのトラブルシュート」をお読みください。

​

メール検証

​

パスワードのオートコンプリート

• ユーザーはブラウザーのパスワードマネージャーにパスワードを保存することをオプトインする必要があります。
• パスワードがパスワードマネージャーに保存されると、コンピューターにアクセスできるすべてのユーザーがパスワードマネージャーにアクセスして、パスワードを取得できるようになります。ログイン画面にパスワードが自動入力されるかどうかには関係ありません。ユーザーがブラウザーにログインしている場合は、保存されたパスワードを表示する前にパスワードの入力を求められます。ログインしていない場合は、誰でもパスワードを見ることができます。
• Safariの場合は、パスワードが記入される前に、ユーザーはMacのパスワードを入力するか、Touch IDを使用するよう求められます。

​

ユニバーサルログインを実装する

​

もっと詳しく

• デフォルトのログインルートを設定する
• MFAにSMSと音声通知を設定する
• 多要素認証の要素
• APIの呼び出しをチェックする
• ログインとログアウトの問題を確認する
• 多要素認証問題をトラブルシューティングする