2025年5月〜7月 (Oktaでは2月から年度開始となっています) の間にリリースした Auth0 に関する新機能等のアップデートをまとめてご紹介します。
今期は 28 件の新機能やアップデートと、4 件の廃止、1 件の変更がありました。先に、特にご紹介したい 3 件をピックアップして紹介します。
- 5/21:CIBA フローが GA
- 6/2:Native to Web SSO が EA
- 6/5:新 API の My Account API でネイティブでのパスキーを登録が Limited EA
5/21 : CIBA フローが GA
Client-Initiated Backchannel Authentication (CIBA) フローが GA になり、全ての Enterprise プランのお客様が使えるようになりました。フローでは RAR (Rich Authorization Requests) も使用可能です。これにより、リクエストを開始したのと異なるデバイスで認証認可が行え、認証認可時により詳細な求められている認可の内容を確認できるようになりました。認証認可を行うデバイス側は、Guardian Mobile SDK を使って実装できます。ユースケースとしては、コールセンターでオペレータがユーザーの代わりに操作を行う際にユーザーに承認を求めたり、AI Agent が行う操作の承認を求めたりすることが想定されます。
6/2 : Native to Web SSO が EA
これまで iOS や Android 上のネイティブアプリでのログイン後に、内部ブラウザでログイン済み状態で Web アプリを表示するにはユーザーに再度ログインしてもらうか、複雑な実装を行い SSO を実現する必要がありました。Native to Web SSO は、EA 中の Custom Token Exchange や新しい機能を利用して、ネイティブアプリから Web への SSO を簡単に実現できるようにします。iOS や Android の SDK でもサポートされます。
6/5 : 新 API の My Account API でネイティブでのパスキーを登録が Limited EA
新しい API セットの My Account API の提供を開始します。ユーザーのログイン時などに発行できる My Account API 向けアクセストークンを使ってアクセスでき、そのユーザーの情報を確認や変更できるようになります。最初の機能として、パスキーの登録が行えるようになります。 同時に、アプリケーションには API アクセスポリシーが設定できるようになり、アプリケーションがユーザーのアクセストークンを使って呼び出せる API の範囲を制限できるようになりました。
今期のその他のアップデート等
残り 30 件のその他のアップデート等は以下のとおりです。
5/7 : Auth0 CLI の改善
Auth0 CLI を使って Universal Login のカスタマイズ、ログの確認、ユーザーのブロック操作などを行いやすくなりました。また、Organizations を使用したログインフローのテストもより簡単にできるようになりました。
5/7 : Universal Login でエンドユーザーが言語を選択可能に
Custom Prompts を使用して、Universal Login に言語選択を実装できるようになりました。ui_locales やブラウザの言語設定で自動選択された言語がユーザーの希望と違う場合に、ユーザー自身で言語を切り替えられます。
5/7 : iOS Guardian SDK の通知テキストのカスタマイズ
iOS Guardian SDK で行うプッシュ通知で表示されるテキストをカスタマイズできるようになりました。
5/13 : 変更 - SMTP のメールプロバイダー設定変更時にパスワード指定が必須に
セキュリティ向上のために、メールプロバイダーの SMTP プロバイダー設定は、SMTP ホスト、ポート、ユーザーを変更する際には同時にパスワードも指定が必須になります。詳細な条件やスケジュールはサポートセンターの通知を確認ください。
5/19 : Event Streams が EA
Event Streams を使うと Auth0 内のユーザー、組織に発生した変更を Webhook や Amazon EventBridge で通知を受けられます。Auth0 と外部のデータベース等でユーザー情報を同期するなどを実装できるようになります。
5/20 : Auth0 Teams でメンバーのロールを変更可能に
Teams でメンバーのテナントへの権限を変更や削除などの変更もできるようになりました。
5/27 : Universal Login の高度なカスタマイズ (ACUL) でWebAuthn などの画面に対応
EA 中の Universal Login の高度なカスタマイズ機能 (ACUL) で、MFA の WebAuthn 機能やログアウトなどに関する画面が追加でサポートされ、カスタマイズできるようになりました。
5/29 : M2M トークンのきめ細かなクォータが Limited EA
M2M 認証でトークンが発行できる回数をアプリケーションや Organization 単位で、1時間ごと、1日ごとで制限できるようになりました。B2B SaaS などで、顧客に API 呼び出しのために M2M 認証を提供する際に、キャッシュなどが行われないことにより過剰な頻度で発行されてしまうことを防げるようになります。
5/29 : Action の名前が変更可能に
ダッシュボードから作成済みの Action の名前を変更できるようになりました。
6/2 : サインアップ時のボット検知の強化
サインアップ時に正規ユーザーであるかを判定する精度が高まりました。これにより、望ましくないユーザー登録を大幅に削減できると期待できます。
6/10 : 廃止 - Management API の全接続を取得する API のページネーション
ソーシャル接続をはじめとする全接続の情報を取得する Management API を使用する際に、オフセットを使ったページネーションでは 1000 接続を越えた接続の情報を取得できなくなりました。必要であれば、チェックポイントを使ったページネーションを使ってください。 詳細についてはサポートセンターの通知を確認ください。
6/13 : 総当たり攻撃保護でのロック解除ページをカスタマイズ可能に
総当たり攻撃保護でロックした際に、ユーザーは通知メールに記載された URL を開くことでユーザー自身でロック解除が行えるようにできますが、URL を開いて表示される Web ページが Universal Login の一部としてカスタマイズできるようになりました。また、URL にアクセスするだけではなく、ページがロードされてロック解除されるようになりました。これにより、メールのセキュリティチェック等でロックが解除されることが起こりにくくなります。
6/17 : プライベートクラウドのリストアが GA
プライベートクラウドでは、アドオン SKU を購入頂くことで、環境全体をお客様のリクエストでのリストアを行えるようになりました。リストアには Okta で取得している直近14日間のバックアップを使用できます。
6/18 : 廃止 - Actions から参照可能だった一部の属性
セキュリティ向上の目的で post-login および credentials-exchange のトリガーで、実行状況によっては参照が行えた以下の属性が廃止されます。これらの属性を参照する Actions を利用している場合は Actions のコードを修正する必要があります。
event.request.query と event.request.body の
- auth_session
- authn_response
- client_secret
- client_assertion
- refresh_token
6/18 : ダッシュボードとドキュメントでカナダフランス語をサポートが Beta
ダッシュボードとドキュメントで、日本語に加えカナダフランス語を使った表示が行えるようになりました。
6/18 : 廃止 - Real-time Webtasks Logs Extension
Actions 等のログを確認できる拡張 Real-time Webtask Logs が廃止されます。今後は Actions リアルタイムログを使用ください。
6/23 : OIDC や Okta のエンタープライズ接続で Private Key JWT クライアント認証が EA
アプリケーションとの間の OIDC では、既に Private Key JWT を使ったクライアント認証が行えますが、エンタープライズ接続でも行えるようになりました。Private Key JWT でのクライアント認証を使わなければ接続できないようなケースで接続できるようになります。
6/23 : Multi-Resource Refresh Tokens が EA
Multi-Resource Refresh Tokens (MRRT) により、1 つのリフレッシュトークンで audience、スコープが異なる複数のアクセストークンの更新が行えるようになりました。API 呼び出し回数を減らすことができ、1 つのリフレッシュトークンでまとめて無効化、有効期限の管理ができます。
6/24 : Auth0 Guide (EA) がセキュリティセンターのメトリクスに対応
EA 中の Auth0 Guide でセキュリティセンターのメトリクスがデータソースとして追加されました。メトリクスについてプロンプトから質問することができます。Auth0 Guide は現時点では US のパブリックリージョンでのみ提供しています。
6/27 : ボット検知の精度向上
ボット検知のモデルが改善され、モバイルデバイスなどからのアクセスでの判定精度の改善、全般的に偽陽性の改善が行われました。
6/30 : 廃止 - 電話、メールプロバイダーのカスタム Action を複数登録
API を使うと電話、メールプロバイダーのカスタム Action を複数登録できましたが、1 つしか登録できないように制限を行います。
7/10 : Universal Login で右横書き言語のサポートが Limited EA
Universal Login でアラビア語、 ペルシャ語(ファルシ語)、ヘブライ語、ウルドゥー語などの右横書き言語のサポートが Limited EA になりました。
7/10 : Universal Login の高度なカスタマイズ (ACUL) が機能強化
EA 中の Universal Login の高度なカスタマイズ機能 (ACUL) が強化されました。カスタマイズ可能な対象に同意画面が追加されたことに加え、カスタマイズが適用されるクライアントや Organization の限定、ページテンプレートの適用を行えるようになりました。また、ダッシュボードから一部の設定を行えるようになりました。
7/15 : My Account API が API ドキュメントに掲載
EA 中の My Account API についてのドキュメントをリリースしました。
7/15 : 1 つの Auth0 テナントで複数のカスタムドメインが Limited EA
これまでテナントにはカスタムドメインを 1 つだけを設定できましたが、1 テナントに最大 1000 ドメインまで設定ができるようになりました。B2B2C の SaaS などで、提供先に応じてドメインを変えたいようなケースで活用できます。なお、同じドメイン名でアクセスした Universal Login でのみ SSO が可能です。
7/21 : Import Mode がオフのカスタムデータベース接続でパスキーをサポートが Limited EA
カスタム DB 利用時、インポートモードがオフでも使用できるようになり、オンでもオフでも利用できるようになりました。インポートモードがオフの時には、パスワードは引き続き外部 DB に保存されますが、パスキーは Auth0 に保存されます。これは MFA と同じ動作です。
7/22 : メキシコでプライベートクラウドを提供開始
プライベートクラウドの利用を開始する際に、新たにメキシコの AWS リージョンを選択頂けるようになりました。
7/22 : Native to Web SSO でトークンやセッションの無効化が連動するように
EA 中の Native to Web SSO を利用している際に、ネイティブアプリが保持しているオリジナルのリフレッシュトークンが無効になると、そのリフレッシュトークンを元に発行されたセッションやリフレッシュトークンも連動して無効化されるようになりました。無効化しないように設定することも可能です。
7/31 : ログストリームで、ログに含まれる PII の難読化、マスキングが可能に
ログストリームで外部に送られるログの中に含まれる個人識別用情報 (性、名、住所、メール、電話、ユーザー名) の指定した項目を XXHash でハッシュ化したり、***** でマスキングできるようになりました。
参考: GA や EA などのリリース段階について
Auth0 は段階的に機能をリリース、または廃止しています。そのためアップデートには 一般提供 (General Availability, GA) や、早期アクセス (Early Access, EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則、一般提供 (General Availability, GA) です。
- 早期アクセス (Early Access, EA): EA リリースの段階では、GA までにマイナーな仕様変更を加える場合があります。また、提供対象も限定される場合があります。アクセス方法はアップデートによって異なるため、個々のアップデート情報を確認ください。
- 一般提供 (General Availability, GA): GA リリースでは対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階でサポート対象となります。
以上、合計 33 件のアップデート、廃止、変更などを紹介しました。各アップデートの詳細については、リリースの都度更新される Changelog ページ および、各項目からリンクされる製品ドキュメント等をご確認ください。引き続き、最新のアップデートは Changelog で随時紹介しており、下記のフィードをご登録いただくことで通知を受け取ることもできます。
今後も Auth0 のアップデートにご期待ください。