［Application Settings（アプリケーションの設定）］

Dashboardの［Applications（アプリケーション）］ページで、リストの中から該当するアプリケーションを見つけ、その名前をクリックすると利用可能な設定が表示されます。

既存のアプリケーションの設定を編集したり、新しいアプリケーションを作成したりする際には、［Settings（設定）］ビューでアプリケーションに関する情報を入力します。

• Name（名前）：アプリケーションの名前。編集可能で、ポータル、メール、ログなどに表示されます。

• Domain（ドメイン）：Auth0のテナント名。これは、新しいAuth0テナントを作成する際に選択するもので、変更できません。別のドメインが必要な場合は、右上のメニューで［+ Create Tenant（テナントの作成）］を選択して、新しいテナントを登録する必要があります。

• Client ID（クライアントID）：アプリケーションに一意の識別子。Auth0で認証を構成する際に使用します。新しいアプリケーションを作成する際にシステムによって生成されるもので、変更できません。

• Client Secret（クライアントシークレット）：認証フローでIDトークンに署名し、検証するため、また特定のAuth0 APIエンドポイントにアクセスするために使用される文字列。デフォルトでは値が非表示になっているため、表示するには［Reveal Client Secret（クライアントシークレットを表示）］ボックスを選択します。クライアントIDは公開情報とみなされますが、クライアントシークレットは機密扱いとする必要があります。誰でもクライアントシークレットにアクセスできるとなると、トークンを発行して、本来アクセスできないはずのリソースにアクセスすることが可能になってしまうからです。

• Description（説明）：アプリケーションの目的を自由テキスト形式で説明したもの。最大文字数は140文字です。

• Application Logo（アプリケーションロゴ）：アプリケーションで表示するロゴのURL（推奨サイズ：150x150ピクセル）。Dashboardのアプリケーション一覧やカスタマイズされた同意フォームなど、いくつかの場所に表示されます。何も設定されていない場合、このタイプのアプリケーションに対するデフォルトのバッジが表示されます。

• Application Type（アプリケーションタイプ）：Auth0のアプリケーションタイプに応じて、Dashboardで構成できる設定が決まります（M2Mアプリの場合は編集できません。選択した付与タイプが現在選択されているアプリケーションタイプでのみ許可されている場合、他のAuth0アプリケーションタイプに対しては無効にされることがあります）。ドロップダウンを使用して、次のタイプから選択してください。

  • Machine to Machine（マシンツーマシン）：コマンドラインツール、デーモン、IoTデバイス、バックエンドで実行されているサービスなどの非対話型アプリケーション。通常、このオプションはAPIへのアクセスが必要なサービスがある場合に使用します。

  • Native App（ネイティブアプリ）：デバイス（iOSやAndroidなど）上でネイティブに実行されるモバイルアプリケーションまたはデスクトップアプリケーション。

  • Regular Web Apps（通常のWebアプリ）アプリケーションロジックのほとんどをサーバー上で実行する従来のWebアプリ（Express.jsやASP.NETなど）。

  • Single Page App（シングルページアプリ）：JavaScriptユーザーインターフェイスロジックのほとんどをWebブラウザーで実行し、主にAPI（AngularJS + Node.jsまたはReactなど）を使用してWebサーバーと通信するアプリ。

• Application Login URI（アプリケーションログインURI）：一部のシナリオでは、Auth0で、アプリケーションをそのアプリケーションのログインページにリダイレクトさせる必要がある場合があります。このURIは、お使いのアプリケーション内のルートをポイントし、テナントの/authorizeエンドポイントにリダイレクトする必要があります。通常は、https://myapp.org/loginの形式を取ります。詳細については、「デフォルトのログインルートを構成する」をお読みください。

• Allowed Callback URL（許可されているコールバックURL）：Auth0が認証後にユーザーをリダイレクトできるURLのセット。複数の有効なURLをカンマで区切って指定することができます（通常はQAやテストなど、異なる環境に対応する場合）。運用環境では、そのURLがローカルホストをポイントしていないことを確認してください。サブドメインのワイルドカードプレースホルダーとして「*」記号を使用することができます（「*.google.com」）。Organizations機能を使用している場合、運用環境のアプリケーションでは、{organization_name}をプレースホルダーとして使用し、登録された組織名を動的にURLに指定することができます（https://{organization_name}.exampleco.com）。{organization_name}プレースホルダーを含むURLは、ご自身が完全に管理しているドメインでのみ使用する必要があります（例：exampleco.comドメインを管理している場合にhttps://{organization_name}.exampleco.com）。

  アプリケーションのコールバックや許可されたオリジンなどのフィールドに、ワイルドカードのプレースホルダーやlocalhostのURLを使用しないでください。ワイルドカードのプレースホルダーが含まれるリダイレクトURLを使用すると、アプリケーションが攻撃に対して脆弱になる可能性があります。詳しくは、owasp.orgの「Unvalidated Redirects and Forwards Cheat Sheet（未検証のリダイレクトと転送早見表）」をご覧ください。代わりに、該当する場合は{organization_name}プレースホルダーを使用したURLが推奨されます。詳細については、「サブドメインURLのプレースホルダー」をお読みください。

• Allowed Logout URLs（許可されているログアウトURL）：ユーザーがAuth0からログアウトした後、returnToクエリパラメーターを使ってリダイレクトさせることができます。returnToで使用するURLは、こちらに記載されている必要があります。複数の有効なURLを指定するには、カンマで区切って指定します運用環境では、そのURLがローカルホストをポイントしていないことを確認してください。サブドメインのワイルドカードプレースホルダーとして「*」記号を使用することができます（「*.google.com」）。これらのURLを検証する際、クエリ文字列やハッシュ情報は考慮されないことにご注意ください。「ログアウト」を参照してください。［Allowed Logout URLs（許可されているログアウトURL）］フィールドには最大100個のURLを指定することができます。

• Allowed Web Origins（許可されているWebオリジン）：クロスオリジン認証、デバイスフロー、およびweb_messageを応答モードとして使用する認可要求が発信元に使用できるURLのリスト。複数の有効なURLを指定するには、カンマで区切って指定します運用環境では、そのURLがローカルホストをポイントしていないことを確認してください。サブドメインのワイルドカードプレースホルダーとして「*」記号を使用することができます（「*.google.com」）。これらのURLを検証する際、パス、クエリ文字列、ハッシュ情報は考慮されません（実際、照合が失敗する原因となることもあります）。［Allowed Web Origins（許可されているWebオリジン）］フィールドには最大100個のURLを指定することができます。

［ID Token（IDトークン）］セクションで、IDトークンの有効期限（Auth0のid_tokenの期限が切れるまでの時間）を秒単位で入力します。デフォルトの値は、36000秒（10時間）です。

［Refresh Token Rotation（リフレッシュトークンのローテーション）］セクションで、ローテーションを有効または無効に設定します。有効にすると、リフレッシュトークンを交換した結果として新しいリフレッシュトークンが発行され、既存のトークンが無効になります。そうすることで、トークンが漏洩した場合に、トークンの再利用が自動的に検知できます。また、［Rotation Overlap Period（ローテーションのオーバーラップ期間）］を秒単位で入力します。この期間は、再利用の自動検知をトリガーすることなく、同じrefresh_tokenを使ってaccess_tokenを要求できる猶予期間です。詳細については、「リフレッシュトークンのローテーション」をお読みください。

［Refresh Token Expiration（リフレッシュトークンの有効期限）］セクションで、絶対的な有効期限と非アクティブな期間の有効期限を有効または無効にし、それぞれのライフタイムを秒単位で設定します。詳細については、「リフレッシュトークンの有効期限を設定する」をお読みください。

［Advanced Settings（高度な設定）］セクションでは、以下のことができます。

• アプリケーションメタデータ、デバイス、OAuth、およびWS-Federationの設定を管理または追加する

• 証明書とトークンのエンドポイントに関する情報を取得する

• アプリケーションの付与タイプを設定する

アプリケーションメタデータは、カスタムの文字列キーと値（それぞれ最大255文字）で、アプリケーションごとに設定されます。メタデータは、アプリケーションオブジェクトではclient_metadataとして、ルールではcontext.clientMetadataとして公開されます。最大10個のメタデータセットを作成できます。

モバイルアプリケーションを開発している場合は、必要なiOS/Androidパラメーターを入力します。

• iOSアプリを開発する際には、［Team ID（チームID）］と［App ID（アプリID）］を入力します。詳細については、「Apple Xcodeでユニバーサルリンクの対応を有効にする」を参照してください。

• Androidアプリを開発する際には、［App Package Name（アプリパッケージ名）］と［Key Hashes（キーハッシュ）］を入力します。詳細については、「Androidアプリリンクの対応を有効にする」をお読みください。

• デフォルトでは、すべてのアプリ/APIが委任要求を行うことができますが、特定のアプリ/APIに対して明示的に権限を付与したい場合は、［Allowed Apps/APIs（許可されているアプリ/API）］でこれを行うことができます。

• ［Compliance Enforcement Level（準拠適合レベル）］を使用して、準拠レベルを設定します。詳細については、「FAPI準拠の構成」を参照してください。

• JSON Web Tokenの署名に使用されるアルゴリズム（HS256またはRS256）を設定します。詳細については、「JSON Web Tokenの署名アルゴリズム」をお読みください。RS256を選択すると（推奨）、トークンはテナントの秘密鍵で署名されます。

• ［Trust Token Endopoint IP Header（トークンエンドポイントIPヘッダーを信頼）］設定を切り替えます。これを有効にすると、総当たり攻撃からトークンエンドポイントを保護するために、auth0-forwarded-forが信頼できるものとして、エンドユーザーのIP情報のソースに使用されます。この設定は、通常のWebアプリ、およびM2Mアプリでのみ使用できます。

• スイッチを切り替えて、アプリケーションがOIDC準拠であるかどうかを指定します。OIDC準拠のフラグが付いたアプリケーションは、OIDC仕様に厳密に従います。

トラブルシューティングのヘルプが必要な場合は、「無効なトークンエラーのトラブルシューティング」を参照してください。

アプリケーションに対して有効または無効にする付与タイプを選択します。使用可能な付与タイプは、アプリケーションタイプによって異なります。

WS-Federation設定を管理または追加します。

署名証明書、そのフィンガープリントおよびサムプリントを管理または追加します。

認可URLやメタデータURLなど、OAuthやSAML、WS-Fedのエンドポイント情報を表示します。

• アプリケーションの作成
• アプリケーションを削除する
• OIDC Discoveryを使ってアプリケーションを構成する
• 機密アプリケーションと公開アプリケーション
• ファーストパーティーアプリケーションとサードパーティーアプリケーション
• エラーメッセージを確認する