メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt

Use this file to discover all available pages before exploring further.

パスワードレス接続によって、ユーザーはパスワードを覚える手間なくログインできます。代わりに、ユーザーは携帯電話番号またはメールアドレスを入力して、ワンタイムパスワード(OTP)またはリンクを受け取ることができます。 ユーザーがパスワードレス接続で認証すると、Auth0をIDプロバイダー()として使用して接続上にプロファイルが作成されます。ユーザーが認証するたびに同じ携帯電話番号またはメールアドレスを使用するように強制することはできないため、ユーザーがAuth0データストアに複数のユーザープロファイルを持つ可能性があります。そのような場合には、アカウントをリンクして、複数のユーザープロファイルを関連付けることができます。

パスワードレス接続とパスワードレスログインの比較

パスワードレス接続は、既存のデータベース接続、ソーシャル接続、エンタープライズ接続とは異なるタイプの接続です。Auth0ユーザーデータベースまたはソーシャルプロバイダーのユーザーが同じメールアドレスを共有していても、パスワードレス接続に関連付けられるIDが独立しています。パスワードレス接続で複数のメールアドレスまたは携帯電話番号をリンクする場合と同様に、アカウントをリンクして、パスワードレスIDを他の種類の接続のIDと関連付けることもできます。
Auth0 Dashboardではパスワードレスユーザーを作成できません。サインアップを無効にしている場合は、Management APIを使って直接作成してください。 [Connection(接続)] フィールドで、メールアドレスを使用するパスワードレスユーザーには メールアドレス 、携帯電話番号を使用するパスワードレスユーザーにはSMSを指定します。
Auth0は、パスワードレス接続によるパスワードレスをサポートしているだけでなく、生体認証デバイスによるWebAuthnを使用してパスワードレスフローを定義できます。詳細については、「パスワードレス認証のためにデバイス生体認証を使ってWebAuthnを構成する」をご覧ください。

メリット

パスワードレス認証を使用する利点は以下の通りです。
  • ユーザーエクスペリエンスの向上。ユーザーはメールアドレスまたは携帯電話番号のみでサインアップできる。
  • セキュリティの強化。パスワードは、ユーザーがパスワードを再利用し、他人と共有できるため、大きな脆弱性の1つです。パスワードは最大の攻撃ベクターであり、多くの侵害の原因となっています。また、資格情報スタッフィング、企業アカウントの乗っ取り、総当たり攻撃などの攻撃にもつながります。
  • 総所有コストの削減。パスワードの管理には、パスワードの複雑性ポリシーの実装、パスワードの有効期限とパスワードのリセットプロセスの管理、パスワードのハッシュ化と保管、パスワードの漏洩検出の監視が絡んでくるため、コストがかさみます。

対応している認証方法

Auth0パスワードレス接続は、SMSまたはメールで送信されるOTP、およびメールで送信されるメールマジックリンクをサポートしています。

SMS

SMSでパスワードレス認証を使用する場合、ユーザーは以下の手順を行います。
  1. ユーザー名/パスワードの組み合わせの代わりに携帯電話番号を提供する。
  2. SMSでOTPを受け取る。
  3. ログイン画面でOTPを入力し、アプリケーションにアクセスする。

メール

メールでパスワードレス認証を使用する場合、ユーザーは以下の手順を行います。
  1. ユーザー名/パスワードの組み合わせの代わりにメールアドレスを提供する。
  2. パスワードレス接続の構成に応じて、メールでOTPまたはメールマジックリンクを受け取る。
  3. ログイン画面でOTPを入力し(またはメール内のメールマジックリンクを開き)、アプリケーションにアクセスする。

パスワードレスを実装する

パスワードレスを実装するには、以下の2つの重要な要素を決定する必要があります。
  • サポートする認証要素
  • 使用するログインタイプ
認証要素をサポートするかどうかを決定する際、アプリケーションと対象オーディエンスによって異なるユーザーエクスペリエンスを考慮する必要があります。アプリケーションを携帯電話で実行している場合、ユーザーはSMSメッセージを受信できる可能性が高いです。ユーザーが携帯電話を携行できない環境で使用される社内用Webアプリケーションの場合、メールしか選択肢はないでしょう。 メールを使用場合、OTPかメールマジックリンクのどちらかを選ぶ必要があります。エンドユーザーにとってログインの流れがより予測しやすくなるため、OTPの使用を推奨します。認証要素の詳細については、以下の記事をお読みください。

ログインタイプ

Auth0は、パスワードレス認証を実装するためにユニバーサルログインまたはクラシックログインのいずれかの使用を推奨していますが、組み込みログインがアプリケーションに最適であると考えられる場合もあります。 ログインタイプごとのパスワードレス認証の設定方法については、以下の記事をお読みください。

もっと詳しく