第一要素の認証方法としての生体認証は、非永続セッションでは動作しません。
Auth0のPSaaSは、現在、すべてのテナントを対象に、非永続セッション向けの機能をサポートしています。既存の機能を上書きするには、テナントベースの非永続セッションを使用します。
ブラウザーに関する制限事項
一部の状況では、非永続セッションがテナント設定で適用できない ことがあります。これには以下のような例が挙げられます。- ユーザーがブラウザーでセッション復元設定を有効化しているため、セッションの復元でセッションのクッキーも復元される。
- ユーザーがタブを閉じた後、ブラウザーのウィンドウを閉じていないため、アイドル有効期限や絶対有効期限でセッションが終了するまでセッションのクッキーが消去されない。
これらのインスタンスでは、非永続セッションによってセキュリティが向上することはありません 。
セッション
セッションはブラウザーのクッキーとサーバー上のセッションレコードで構成されます。非永続セッションではクッキーが維持されることなく、テナントのタイムアウトが設定されるため、ユーザーがデバイスから手動でログアウトする必要はありません。 セッションのライフライムは、システムが長期のセッションをどれくらい長く維持するかを決定し、テナントごとに構成できます。セッションの絶対有効期限は、セッションが作られたときに定義されます。ユーザーセッションに非永続の設定を有効にするか、ブラウザーが閉じた後でもセッションが継続することを許可できます。絶対有効期限や非永続の設定は、またはを使って調整することができます。詳細については、「セッションライフライムの設定を構成する」をお読みください。クッキー
Auth0プラットフォームは、セッション、多要素認証、デバイスという3種類のクッキーを使用します。Auth0テナントを構成すると、これらはすべて非永続に変わります。テナントのタイムアウトはセッションの期限切れをトリガーします。 非永続セッションを有効にすると、認可サーバーとのやり取りで以下のクッキーがセッションクッキーとして発行されます。auth0/auth0_compatauth0-mf/auth0-mf_compatdid/did_compat
テナントの構成
テナントは以下の2通りの方法でセッションを扱うように構成できます。- Persistent(永続) :ブラウザーが閉じた後でもセッションクッキーが維持されます。
- Non-Persistent(非永続) :セッションクッキーは維持されません。ブラウザーは、ブラウザーのセッションが終わるまで、セッションクッキーを維持します。詳細については、IETF Datatrackerに掲載の「HTTP State Management Mechanism」をお読みください。
- [Dashboard]>[Tenant Settings(テナントの設定)]に移動して、[Advanced(詳細設定)] ビューを選択します。
-
[Session Expiration(セッションの有効期限)] セクションまでスクロールして、[Idle Session Lifetime(アイドルセッションライフタイム)] と**[Maximum Session Lifetime(最大セッションライフタイム)]** に希望する設定を入力し、[Save(保存)]を選択します。
設定 説明 Idle Session Lifetime(アイドルセッションライフタイム) 認可サーバーとのやり取りがなくなってから、ユーザーのセッションが失効するまでの時間(分)です。エッセンシャルプランとプロフェッショナルプランでは4,320分(3日)、エンタープライズプランでは144,000分(100日)を超えると、システム制限によって置き換えられます。 Maximum Session Lifetime(最大セッションライフタイム) アクティビティにかかわらず、ユーザーに再ログインを求めるまでの時間(分)です。デベロッパープランとデベロッパープロプランでは43,200分(30日)、エンタープライズプランでは525,600分(365日)を超えると、システム制限によって置き換えられます。