Auth0 Guardian
Auth0 Guardianは、iOSおよびAndroidデバイス用のモバイルアプリケーションで、ユーザーはプッシュ通知または一時的なワンタイムパスワードを使用して多要素認証(MFA)を完了できます。
Auth Guardianは、ユーザーの登録済みデバイス(通常は携帯電話またはタブレット)にプッシュ通知を配信したり、アプリ内で直接ワンタイムパスワードを生成したりできます。ユーザーは、これらのプッシュ通知にすばやく応答したり、ワンタイムパスワードを取得してログインを完了したりできます。
ユーザーは、Apple App StoreまたはGoogle Play StoreからAuth0 Guardianアプリをダウンロードできます。または、Guardian SDKを使用して、Auth0 Guardian機能を独自のカスタムアプリに埋め込むこともできます。
プッシュ通知
プッシュ通知を使用するには、ユーザーのデバイスにAuth0 GuardianアプリまたはGuardian SDKで構築されたカスタムアプリがインストールされている必要があります。ユーザーが認証を試みると、インストールされたアプリにプッシュ通知が送信されます。ユーザーは、ログイン情報を知っていることと、MFA用に設定されたデバイスを所有していることを証明して、ログインを完了するために通知に応答する必要があります。
Auth0プッシュ通知は、AWS Simple Notification Service (SNS)または次のベンダー直結サービスのうち1つ以上を使用して実装し、ベンダー固有の統合を構成できます。
Firebase Cloud Messaging(FCM)
Apple Push Notification(APN)
プッシュ通知に登録する
Auth0 Guardianを使用してプッシュ通知を構成すると、ユーザーは最初にサインアップまたはアプリケーションにログインするときに、モバイルアプリをダウンロードするように求められます。Guardian SDKを使用してカスタムアプリにプッシュ通知を実装する場合、ユーザーは登録中にアプリケーションをダウンロードするように求められません。
Auth0 Dashboardの[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]>[Push Notification using Auth0 Guardian(Auth0 Guardianを使ったプッシュ通知)]から、プッシュ通知を有効にすることができます。
ユーザーが初めてアプリケーションにサインアップまたはログインすると、Auth0 GuardianアプリまたはカスタムのGuardian SDKアプリを第二認証要素として登録できるQRコードをユニバーサルログインが提供します。ユーザーは、指定されたアプリでこのコードをスキャンして登録を完了するまでの時間が短くなります。
ユーザーが登録すると、プッシュ通知を認証要素として使用できます。ユーザーがアプリケーションにログインしようとするたびに、Auth0 GuardianまたはカスタムGuardian SDKアプリを介してデバイスにプッシュ通知が届きます。ユーザーは、アプリケーションに正常にログインするために、この要求を承認する必要があります。
デバイスや回復コードを失くしてしまったユーザーのためにMFAをリセットする方法については、「多要素認証と回復コードをリセットする」を参照してください。さらにサポートが必要な場合は、「多要素認証のトラブルシューティング」を参照してください。
一時的なワンタイムパスワード
Auth0 GuardianアプリとGuardian SDKは、二次認証要素として一時的なワンタイムパスワード(OTP)の使用もサポートしています。アプリとSDKはどちらも、ユーザーがユニバーサルログインMFAチャレンジを完了するために使用できる一時的なOTPを生成できます。
デフォルトでは、Auth0 Guardianアプリには、ユーザーが登録したアプリケーションが一覧表示されます。アプリケーションを選択すると、そのアプリケーションに対応するOTPが表示されます。6桁の各OTPは30秒間有効です。有効期限が近づいているOTPは赤で表示されます。有効期限が切れると、アプリはすぐに新しいOTPを生成します。認証の失敗を回避するために、ユーザーは赤のOTPを使用しないでください。
カスタムGuardian SDKアプリでは、OTPの外観が異なる場合があります。
一時的なワンタイムパスワードを使用する
OTPは、主に次の2つの方法で活用できます。
Auth0 Guardianアプリまたはその他のカスタムアプリがプッシュ要求を受信しなかった場合に、プッシュ通知のフォールバックオプションとして。
通知をプッシュするフォールバックオプションとしてOTPを使用する
Auth0 Guardianや他のカスタムアプリを介してプッシュ通知を受信しないユーザーは、代わりに一時的なOTPを使用してMFAチャレンジを完了できます。
ユーザーフロー例:
ユーザーがアプリケーションへのログインを試行する。ユニバーサルログインMFAプロンプトが表示されるが、プッシュ通知を受信しない。
MFAプロンプトで、ユーザーが[Manuallay Enter Code(手動でコードを入力する)]ボタンを選択する。OTPを使用して認証するには、このオプションを選択する必要がある。
![[Manuallay Enter Code(手動でコードを入力する)]ボタンを表示するMFAプロンプトの例](//images.ctfassets.net/cdy7uua7fh8z/7reEOLI5CWxbpRzgZY7gxg/5cea15c9d8586a68df32c42d292c7478/MFA_-_Push_-_Japanese.png)
ユーザーがAuth0 GuardianまたはカスタムGuardian SDKアプリを開き、アクセスしようとしているアプリケーションを選択する。
ユーザーが、[Account Detail(アカウント詳細)]ページの下部に表示されるOTPをコピーする。
ユーザーがMFAプロンプトにOTPを入力してチャレンジを完了する。
![[Manuallay Enter Code(手動でコードを入力する)]ボタンを表示するMFAプロンプトの例](http://images.ctfassets.net/cdy7uua7fh8z/7reEOLI5CWxbpRzgZY7gxg/5cea15c9d8586a68df32c42d292c7478/MFA_-_Push_-_Japanese.png)
OTPをMFAチャレンジとして使用する
ユーザーがOTPで認証できるようにするには、ワンタイムパスワードをテナントのMFA要素として有効化する必要があります。有効化すると、ユーザーがユニバーサルログインを通してログインするときに、OTPを使ってMFAプロンプトを完了することができます。MFA要素を有効化するには、[Auth0 Dashboard]>[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]に移動します。
ユーザーはアプリケーションに初めてサインアップやログインするときに、MFA要素としてOTPを登録することができます。使用するデバイスの種類に応じて、ユニバーサルログインが以下のいずれかを表示します。
携帯電話以外のデバイス:ユニバーサルログインはQRコードを表示し、ユーザーがスキャンして登録を続けられるようにします。
携帯電話:ユニバーサルログインはQRコードではなく、登録コードを直接表示します。
どちらの方法でも、ユーザーは画面に表示された手順に従って、Auth0 GuardianアプリまたはカスタムのGuardian SDKアプリを認証の第2要素として登録できます。一般的に、このプロセスではユーザーがアプリケーションを適切なアプリに追加して、そのアプリケーション用のOTPを取得します。そして、ユーザーはOTPをユニバーサルログインのプロンプトに入力し、登録プロセスを完了させます。
登録を完了してから次回にユーザーがアプリケーションにログインするときには、チャレンジでAuth0 GuardianアプリまたはカスタムのGuardian SDKアプリからのOTPを入力して認証できます。
Auth0 Guardianアプリの設定
ユーザーセキュリティ設定
Auth0 Guardianアプリでは、ユーザーはiOSおよびAndroidでパスコードと生体認証をアプリセキュリティのレイヤーとして有効にできます。ユーザーがこれらのオプションの1つ以上を有効にすると、プッシュ通知に応答したりワンタイムパスワードを取得したりする前に、これらのチャレンジを完了する必要があります。
iOSまたはAndroidデバイスでこれらのオプションを有効にするには、ユーザーは次の手順に従います。
iOSでAuth0 Guardianアプリのセキュリティ設定を有効にする方法:
アプリで、ギアアイコンを選択すると、設定メニューが開きます。
[Passcode(パスコード)]を選択し、パスコード保護を有効にします。
6桁のパスコードを設定し、確認します。
これで、アプリはパスコードによって守られます。このパスコードを入力しないと、ユーザーはプッシュ通知への応答またはOTPの取得を行うことができません。
パスコード保護を有効にしたあと、ユーザーはセキュリティ対策の代わりにデバイスの生体認証を構成することができます。デバイスの生体認証を有効にする方法:
アプリで、ギアアイコンを選択すると、設定メニューが開きます。
Face IDやTouch IDといった利用可能なオプションの一つを選択し、デバイスの生体認証を有効にします。
AndroidでAuth0 Guardianアプリのセキュリティ設定を有効にする方法:
アプリで、3点リーダーメニューを選択すると、設定メニューが開きます。
[Always Ask for Passphrase(パスフレーズを常に聞く)]オプションの切り替えを有効にしてください。
Auth0 Guardianアプリを設定している間に設定されたパスフレーズを入力します。
これで、アプリはAuth0 Guardianパスフレーズによって保護されました。このパスフレーズを入力しないと、ユーザーはプッシュ通知への応答またはOTPの取得を行うことができません。
パスフレーズ保護を有効にしたあと、ユーザーはセキュリティ対策の代わりにデバイスの生体認証を構成することができます。デバイスの生体認証を有効にする方法:
アプリで、3点リーダーメニューを選択すると、設定メニューが開きます。
[Use Biometrics to unlock(ロック解除に生体認証を使用する)]オプションの切り替えを有効にします。
ローカリゼーションオプション
Auth0 Guardianアプリは、iOSおよびAndroidで複数の言語と方言のローカリゼーションをサポートしています。
設定メニューの言語セクションで、ユーザーは希望する言語を選択できます。デフォルトでは、アプリはデバイスシステムと同じ言語を使用します。
プッシュ通知のコンテンツのほとんどは、ユーザーが選択した言語で表示されます。ただし、プッシュ通知のタイトルは翻訳されません。これはタイトルの入力後に言語設定が取得されるためです。
Auth0 Guardianアプリは、次の言語と方言をサポートしています。
| 言語 | コード |
|---|---|
| アルバニア語 | sq |
| アムハラ語 | am |
| アルメニア語 | hy |
| アゼルバイジャン語 | az |
| バスク語 | eu-ES |
| ベンガル語 | bn |
| ボスニア語 | bs |
| ブルガリア語 | bg |
| カタルニア語 | ca-ES |
| 中国語 - 香港特別行政区 | zh-HK |
| 中国語 - 簡体 | zh-CN |
| 中国語 - 繁体 | zh-TW |
| クロアチア語 | hr |
| チェコ語 | cs |
| デンマーク語 | da |
| オランダ語 | nl |
| 英語 | en |
| 英語 - カナダ | en-CA |
| エストニア語 | et |
| フィンランド語 | fi |
| フランス語 | fr-FR |
| フランス語 - カナダ | fr-CA |
| ガリシア語 | gl-ES |
| ジョージア語 | ka |
| ドイツ語 | de |
| ギリシャ語 | el |
| グジャラート語 | gu |
| ヒンディー語 | hi |
| ハンガリー語 | hu |
| アイスランド語 | is |
| インドネシア語 | id |
| イタリア語 | it |
| 日本語 | ja |
| カンナダ語 | kn |
| 韓国語 | ko |
| ラトビア語 | lv |
| リトアニア語 | lt |
| マケドニア語 | mk |
| マレー語 | ms |
| マラヤーラム語 | ml |
| マラーティー語 | mr |
| モンゴル語 | mn |
| モンテネグロ語 | cnr |
| ミャンマー語 | my |
| ノルウェー語 | no |
| ノルウェー語 - ブークモール | nb |
| ノルウェー語 - ニーノシュク | nn |
| ポーランド語 | pl |
| ポルトガル語 - ブラジル | pt-BR |
| ポルトガル語 - ポルトガル | pt-PT |
| パンジャブ語 | pa |
| ルーマニア語 | ro |
| ロシア語 | ru |
| セルビア語 | sr |
| スロバキア語 | sk |
| スロベニア語 | sl |
| ソマリ語 | so |
| スペイン語 | es |
| スペイン語 - アルゼンチン | es-AR |
| スペイン語 - ラテン アメリカ | es-419 |
| スペイン語 - メキシコ | es-MX |
| スワヒリ語 | sw |
| スウェーデン語 | sv |
| タガログ語 | tl |
| タマジット語 | zgh |
| タミール語 | ta |
| テルグ語 | te |
| タイ語 | th |
| トルコ語 | tr |
| ウクライナ語 | uk |
| ベトナム語 | vi |
| ウェールズ語 | cy |
Guardianアプリのテーマ
iOSとAndroidの両方のAuth0 Guardianアプリは、ライトモードとダークモードのテーマをサポートしています。
設定メニューのテーマセクションで、ユーザーは次のオプションを選択できます。
System(システム):デフォルトのシステムテーマを使用します
Light(ライト):ライトモードのテーマを有効にします
Dark(ダーク):ダークモードのテーマを有効にします
保護されたアプリケーションのカスタマイズオプション
ユーザーがAuth0 Guardianアプリで保護されたアプリケーションを区別しやすくするために、各アプリケーションを個別の名前、アクセントカラー、アイコンでカスタマイズできます。
Auth0 Guardianアプリでアプリケーションに割り当てられるデフォルトの名前は、使用しているテナント名またはテナント設定で指定されているフレンドリー名によって決まります。同様に、デフォルトのロゴには、テナント設定で指定されているロゴのURLが使用されます。
テナント設定を変更するには、[Auth0 Dashboard]>[Settings(設定)]>[General(一般)]に移動します。
保護されたアプリケーションをカスタマイズするには:
リストからアプリケーションを選択します。
ヒント:アプリケーションを左にスワイプして、編集と削除のオプションを表示することもできます。
アカウントの詳細ページで[Edit(編集)]を選択します。
必要に応じて、アプリケーションの名前、色、アイコンを更新します。
[Save(保存)]を選択します。
Guardian SDK
Guardian SDK(iOSとAndroidの両方で利用可能)を使用すると、ブランディングだけでなく、外観や操作性を完全に制御した独自の多要素認証アプリケーションが構築できます。Guardian SDKを使用すると、Guardianのように動作する独自のカスタムモバイルアプリケーションを構築したり、既存のモバイルアプリケーションでプッシュ通知を受信するなどのGuardian機能を統合したりできます。典型的なシナリオは、銀行アプリです。既存のモバイルアプリでGuardian SDKを使用して、誰かがATM取引を実行したときにプッシュ通知を受信して確認できます。
アクションを使用してAuth0 Guardianで多要素認証を有効にする
アクション内でAuth0 Guardianを有効化するには、多要素認証を有効にする際にproviderパラメーターとしてguardianを渡します。
exports.onExecutePostLogin = async (event, api) => {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
};Was this helpful?
ユーザーが毎回Auth0 Guardianを使ってログインすることを強制するには、allowRememberBrowser: falseを使ってアクションを作成します。
Auth0 GuardianとAuthorization Extensionによる多要素認証
このテンプレートは例として条件が満たされた場合にプッシュ通知用にAuth0 Guardianで多要素認証をトリガーする始点を提供します。
初めてログインした後、ユーザーはデバイスを登録することができます。Mの詳細については、「多要素認証を有効にする」を参照してください。
exports.onExecutePostLogin = async (event, api) => {
const groups = event.user.app_metadata.authorization.groups;
const GROUPS_WITH_MFA = {
// Add groups that need MFA here
// Example
admins: true
};
const needsMFA = !!groups.find(function (group) {
return GROUPS_WITH_MFA[group];
});
if (needsMFA) {
// optional, defaults to true. Set to false to force Guardian authentication every time.
// See https://auth0.com/docs/secure/multi-factor-authentication/customize-mfa#change-frequency-of-mfa-prompts for details
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};Was this helpful?