2025年8月〜10月 (Oktaでは2月から年度開始となっています) の間にリリースした Auth0 に関する新機能等のアップデートをまとめてご紹介します。
今期は 31 件の新機能やアップデートと、1 件の廃止、3 件の変更がありました。先に、特にご紹介したい 3 件をピックアップして紹介します。
- 8/19 : DPoP を使用したトークンの使用者制限が EA
- 8/22 : 一意ではないメールアドレスが EA
- 9/30 : Cross App Access (XAA) for リソースアプリケーションが Beta
8/19 : DPoP を使用したトークンの使用者制限が EA
RFC 9449 で定義されている OAuth 2.0 Demonstrating Proof of Possession (DPoP) が Auth0 で EA になりました。DPoP は公開鍵暗号の技術を利用し、アクセストークンが盗まれ API に送信されても、不正利用されることを防ぐことができます。
お客様 API 向けのアクセストークンに適用でき、SPA、ネイティブアプリ、バックエンド API 向けの SDK でのサポートも進めていきます。
8/22 : 一意ではないメールアドレスが EA
ログイン時にユーザが入力する識別子 (ID, Identifier) にメールアドレスを使用しない場合は、1 つのデータベース接続にメールアドレスが重複するユーザを保存できるようになりました。例えば、商店や医療機関等のアプリで家族それぞれユーザアカウントを作成することがあり、同じメールアドレスを利用することを許容したいケースなどに対応できるようになります。なお、新規のデータベース接続で柔軟な ID 設定 (Flexible Identifiers) を組み合わせて利用する必要があるなどの制約があります。
9/30 : Cross App Access (XAA) for リソースアプリケーションが Beta
Okta では企業が社員の利用する AI アプリケーションから他の SaaS などのアプリケーションへのアクセスを管理できるようにするための仕組み Cross App Access (XAA) を提案しています。使用する Identity Assertion JWT Authorization Grant (ID-JAG) は RFC のドラフトとなっており、Okta 以外でも実装が行えます。
Okta 自身も Okta および Auth0 プラットフォームの両方で対応を進めており、Auth0 は AI アプリケーションが XAA を使ってアクセスを要求するための機能、SaaS アプリケーションがアクセスを受け付けるための機能の提供を今後行っていきます。 今回の Beta では、後者の SaaS アプリケーションなどが XAA を使ったアクセスを受け付けられるようにするための機能を提供します。
今期のその他のアップデート等
残り 32 件のその他のアップデート等は以下のとおりです。
8/7 : ボット検知の精度向上
ボット検知のモデルが改善され、VPNユーザーの偽陽性の低減が行われました。
8/7 : 総当たり攻撃防御の通知をすべての識別子タイプに拡大
総当たり攻撃防御で、ユーザーがブロックされた際に識別子に関わらずメールアドレスが設定されていれば、メールで通知されるようになりました。
8/11 : Native to Web SSO が EA
Native to Web SSO はこれまで申し込みが必要な Limited EA でしたが EA になり、全ての Enterprise 契約のお客様が試せるようになりました。
8/11 : Multi-Resource Refresh Tokens が EA
Multi-Resource Refresh Tokens (MRRT) が全てのお客様で EA になりました。MRRT を有効にしたアプリケーションでは、リフレッシュトークンを使ったアクセストークン取得を行う際に、リフレッシュトークン取得時とは異なる API (リソース、audience) やスコープも取得できるようになります。取得できるアクセストークンは MRRT のポリシーで制御できます。これにより、My Account API を採用するアプリケーションで必要となる複数の API 呼び出し時のトークン取得が効率化し、1 つのリフレッシュトークンでまとめて有効期限、無効化の管理ができるようになります。
8/11 : Universal Login でデータベース接続とパスワードレス接続の切替
データベース接続(パスワード、パスキー)とパスワードレス接続の両方を 1 つのアプリケーションで使用する際に、Universal Login 上でユーザ自身がどちらを使うかを切り替えられる UI にカスタマイズできるようになりました。Identifier First を有効にして、カスタムプロンプトで切り替えのためのボタンを追加して実現します。
8/12 : Auth0 Actions で Transaction Metadata が EA
ログイン時の Actions (post-login) において、1 つのログイン等の処理内で実行される複数の Action を横断してデータを共有できるようになりました。先行して実行された Action で保存した内容を後続の Action 内で読み取ることができます。外部サイトや Form へのリダイレクトの前後でも共有が可能です。
8/12 : 廃止 - 管理 API の Swagger エンドポイントの削除
非公式でアクセス可能であった管理 API について Swagger 仕様で情報を提供するエンドポイントを2025年9月11日に廃止します。このエンドポイントは既にメンテナンスされておらず、情報も不完全な状態となっています。現時点ではまだ Beta ですが、OpenAPI 3.1 仕様に基づく JSON Schema を参照してください。
8/18 : JA3 と JA4 の TLS フィンガープリントが参照可能に
Auth0 の API アクセスに使用された TLS の JA3 と JA4 のフィンガープリントが以下で参照できるようになりました。不正なアクセスへの調査や対応に使用できます。
- Auth0 Actions のユーザ登録前、ユーザ登録後、ログイン時
- テナント ACL
- テナントログ
8/20 : プライベートクラウドでの Auth0 Teams テナントメンバー管理などが Beta
既にパブリッククラウドで利用できている Teams 機能などがプライベートクラウドで Beta になりました。
- テナントメンバー管理
- テナントメンバー管理のログがアクティビティログの対象に (同時にパブリッククラウドでも)
- セキュリティポリシー - SSO の強制
- プライベートクラウド環境の管理者によるセッション無効化 (現時点でプライベートクラウドのみの機能)
- Teams からメンバー招待が可能に
- 一度に割り当て可能なテナント数が 5 から 10 に増加
9/1 : Deploy CLI のドライラン
Auth0 テナントの設定を YAML 形式のファイルにエクスポートやインポートできる Deploy CLI でインポート時にドライランを行えるようになりました。インポートによりどのような変更が行われるかを実行前に確認ができます。
9/9 : API アクセスポリシー が EA
アプリケーションが API にアクセスする際にどのような操作が許可されるかを制御する方法に API アクセスポリシーが追加されました。 これまでもアプリケーションが M2M で認証して API アクセスする際の権限は操作できましたが、これに加えてユーザとして API アクセスする際の権限をアプリケーションに応じて制限できるようになりました。現時点では管理 API からのみ設定が可能です。
9/11 : 変更 - ダッシュボードでのユーザーの一括インポート / エクスポートが置き換え
ダッシュボード上でのユーザーの一括インポートとエクスポートをユーザ一覧の画面から行えるようになりました。ダッシュボードのロール権限「Editor - Users」で利用可能な機能となります。インポート時に既存ユーザーの更新もできるようになりました。 これに伴い User Import / Export 拡張は必要なくなり、2025年10月末に廃止されます。
9/11 : テナント Access Control List (ACL) が GA
テナント ACL が GA になりました。テナントが提供する API へのアクセスを、IP アドレス、Geo ロケーション、ユーザエージェント、ASN などに基づきアクセスを制限できます。
9/16 : Teams でメンバー招待の効率化が EA
Teams でメンバーを招待する際に、テナントへの割り当ても事前に行うことができるようになります。ユーザは招待を受け取って登録すれば、すぐに割り当てられたテナントを管理できるようになります。
9/18 : Auth0 サポートセンターがアップデート
サポートセンターがアップデートされました。Beta で提供されていた生成 AI を使った検索が GA になり、ナレッジ記事も拡充されました。
9/30 : セルフサービス SSO で SCIM サポートが EA
セルフサービス SSO 機能が、顧客企業の社内 IdP と SSO するための SAML や OIDC に加え、ユーザの作成・更新・削除を自動的に反映させるための SCIM にも対応します。SCIM を利用する場合も、セルフサービス SSO で顧客企業に設定を完了してもらえるようになります。なお、引き続き現時点では Web UI が英語のみの対応です。
10/1 : ネイティブアプリでのパスキー管理が Limited EA
ネイティブアプリ上でパスキーのリスト表示や削除を実装するための API が MyAccount API で使えるようになります。
10/1 : Actions を使った一時的なセッションが EA
ユーザがログイン時に作成されるセッションをログイン時の Actions で、永続的にするか一時的にするか変更できるようになりました。セッションはブラウザの Cookie として保存され、一時的なものである場合は経過時間に関わらずブラウザを閉じると消えます。これまではテナントの設定に応じて一律でしたが、Actions から制御できるようになりました。これにより、ログイン画面にセッションを保存するかをユーザに決めてもらうチェックボックスなどを実装できるようになります。
10/1 : React Native 向け SDK の新バージョン
React Native 用 SDK の新メジャーバージョン v5 が GA になりました。React 19、Expo 53 にあわせてアップデートされています。全体的な見直しに加え、React Native for Web のサポートが追加されています。
10/1 : ネイティブアプリでのパスキーで Organizations のサポートが Limited EA
ネイティブアプリ上でパスキーを使ったログインやユーザ登録を行う際に、Organization も指定できるようになります。
10/2 : OIDC や Okta のエンタープライズ接続で追加の署名アルゴリズムが Limited EA
OIDC や Okta のエンタープライズ接続における、プライベートキー JWT を使ったクライアント認証や ID トークンの検証で RS512、PS256、ES256 を追加でサポートします。これにより、安全性を高め、より幅広い IdP と接続できるようになります。
10/8 : Akamai 補助シグナルが EA
Akamai を Auth0 のリバースプロキシとして構成している際に、Akamai Bot Manager、Akamai Account Protector の判定結果をログイン時の Actions で参照できるようになります。判定結果に応じて、MFA の要求、別サイトへのリダイレクト、ブロックなどを行うように実装できます。
10/10 : パブリッククラウドがアウトバウンドで使用する IP アドレスのリスト
パブリッククラウドの Actions などから外部に通信する際に使用される IP アドレスのリストがドキュメントに掲載されるだけではなく、定められた URL で JSON 形式で公開されるようになりました。これにより、ファイアウォール等に許可する IP アドレスの登録などを自動化しやすくなりました。
10/10 : 変更 - プライベートキー JWT を使ったクライアント認証における audience 検証の厳格化
クライアント (アプリケーション) の認証でプライベートキー JWT が使用された際に行われる、JWT の aud (audience) クレームの検証が厳格になり、Auth0 テナントの発行者識別子 (issuer identifier) が単体の文字列として指定されていることが必須になります。配列での指定やパスを含んだ指定が許容されなくなります。プライベートキー JWT を使用されている場合はご注意ください。現時点では 2026年4月8日 までこれまでの動作が維持される予定です。 詳細や最新の情報については、ダッシュボードやサポートセンター上の通知「Action Required: Stricter Audience Validation for Private Key JWT Client Authentication」を確認ください。
10/16 : Nuxt 向け SDK が Beta
フレームワーク Nuxt 向けの初めての SDK が Beta でリリースされました。Nuxt を使ったアプリケーションへの Auth0 の組み込みが簡単になります。
10/17 : Auth0 FGA: ログ API が GA
FGA の監査、デバッグ、監視に使用できるログに API からアクセスできるようになりました。
10/27 : イベントストリームのイベントについてのカタログ
イベントストリームで連携されるイベントにどのようなものがあるかについてのカタログがドキュメントに追加されました。
10/28 : 変更 - 検証不可なコールバック URL の利用
モバイルアプリではカスタム URI スキームではなく、HTTPS を使った Android App Links や Apple Universal Links の利用を推奨しています。コールバック URL にカスタム URI スキームやループバック URI が使用された時の挙動が変更され、デフォルトではアプリケーション利用の同意画面がユーザに表示されるようになります。挙動はテナント全体やアプリ単位で変更が可能です。 2025年10月15日以前に作成されたテナントでは、2026年4月28日までこれまでの挙動が維持されます。2025年10月15日以降に作成されたテナントでは既に新しいデフォルトの挙動が適用されています。
10/28 : サインアップ時のボット検知が強化
サインアップ時のボット検知に使用されるモデルの改善や利用するシグナルの拡大が行われました。
10/29 : Shopify とのソーシャル接続
ソーシャル接続に Shopify の提供する Shop が追加されました。Shop のログイン機能 Sign in with Shop が Auth0 のアプリケーションで利用できるようになり、顧客が Shop で使用しているアカウントを使って Auth0 のアプリケーションにもログインできるようになります。 なお、逆に Auth0 の提供するログイン機能を Shop 側で利用する事も可能です。
10/31 : Auth0 FGA: 書き込みや削除でのエラーを無視
Auth0 FGA で複数タプルの書き込みや削除が行える Write API に、重複した項目の書き込みや存在しない項目の削除がリクエストに含まれていても、エラーとして扱わずに無視するようにするパラメータが追加されました。インポートをはじめとした一括した処理でエラーのハンドリングが行いやすくなります。
10/31 : ドメイン名を使った Organizations の発見が EA
ログインフローでプロンプトに Organization を入力してもらう場合に、Organization 名に加え、ユーザのメールアドレスも入力してもらえるようになりました。メールアドレスのドメイン名が、Organizations の検証済みドメイン名と一致した場合は、その Organization でのログイン画面が表示されます。
参考: GA や EA などのリリース段階について
Auth0 は段階的に機能をリリース、または廃止しています。そのためアップデートには 一般提供 (General Availability, GA) や、早期アクセス (Early Access, EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則、一般提供 (General Availability, GA) です。
- 早期アクセス (Early Access, EA): EA リリースの段階では、GA までにマイナーな仕様変更を加える場合があります。また、提供対象も限定される場合があります。アクセス方法はアップデートによって異なるため、個々のアップデート情報を確認ください。
- 一般提供 (General Availability, GA): GA リリースでは対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階でサポート対象となります。
以上、合計 35 件のアップデート、廃止、変更などを紹介しました。各アップデートの詳細については、リリースの都度更新される Changelog ページ および、各項目からリンクされる製品ドキュメント等をご確認ください。引き続き、最新のアップデートは Changelog で随時紹介しており、下記のフィードをご登録いただくことで通知を受け取ることもできます。
今後も Auth0 のアップデートにご期待ください。