メインコンテンツへスキップ
Adaptive MFAを使用するには、エンタープライズプランとAdaptive MFAアドオンが必要です。詳細については、「Auth0の価格設定」を参照してください。
は、実ユーザーの負担を増やさずに、不正者からテナントを保護する柔軟性と拡張性を備えたポリシーです。Adaptive MFAは、ログイントランザクションごとに潜在リスクを評価し、必要な場合は、さらなる検証をユーザーに求めます。

仕組み

ログイントランザクション中に、Adaptive MFAは以下の3つのリスク評価の分析に基づいて、 全体的な信頼スコアを計算します。
評価子危険信号判定方法
NewDeviceユーザーがアカウントを使って過去30日以内に使用していないデバイスからサインインしようとしました。ユーザーエージェントとブラウザーのクッキーを基にデバイスを特定します。ログイン時にデバイス情報をアカウントのデバイス一覧と照らし合わせます。
ImpossibleTravelユーザーがログインしようとしている地理的な位置が、最後にログインした場所から移動不可能な場所を示しています。最後の有効な場所からサインインの場所までの距離を算出し、2つのサインイン間の経過時間から推定される移動速度を算出します。その速度を合理的に可能な移動速度と比較します。
UntrustedIP疑わしい動作のあるIPアドレスからユーザーがサインインしようとしています。Auth0はトラフィックイベントから情報を収集し、IPアドレスが悪意のある行為者によって高速攻撃に利用されている可能性を判断します。
PhoneNumberログインやサインアップ時に入力された電話番号が無効か、信頼できない出所からのものであると判断されました。Auth0は電話番号の構造と出所の情報を収集し、正しいユーザーに使用されているかを判断します。
Overall Risk Score(総リスクスコア)上記のNewDeviceImpossibleTravelUntrustedIP の要素を組み合わせたものです。PhoneNumberは総リスクスコアに影響しません。Auth0は3つのスコアから総スコアを評価します。独自のビジネスロジックを実装したい場合には、アクションを使用します。
全体的な信頼スコアが低い(ログイントランザクションが高リスクである)と判断された場合、ユーザーはMFAで本人確認を行う必要があります。MFAに登録されていない場合、追加の検証手続きを済ませないと、ユーザーがこれを行う資格は得られません。 Adaptive MFAには、ユーザーが本物であることを確認するための包括的なセキュリティフローが含まれています。
Auth0のログインに関するAdaptive MFAのフロー図
Adaptive MFAは、ありとあらゆる既存のMFAセッション(たとえば、ユーザーが前のMFAフロー中にRemember this browser(このブラウザーを記憶する) を選択した)を無視し、ユーザーがMFAチャレンジをバイパスすることを許可しません。

Adaptive MFAをカスタマイズする

アクションを使用してMFAフローをカスタマイズすると、ユーザーに最高のエクスペリエンスを提供することができます。 リスク評価、信頼スコア、およびカスタマイズオプションの詳細については、「Adaptive MFAをカスタマイズする」をお読みください。

サポートと制限事項

認可フロー

Adaptive MFAはエンドユーザーから開始されるすべての認証フローと認可フローによってサポートされています。異なるフローとプロトコルの詳細については、「認証フローと認可フロー」および「プロトコル」をお読みください。
プロトコルフロー対応
OIDC/OAuth2認可コードフロー対応
OIDC/OAuth2PKCEを用いた認可コードフロー対応
OIDC/OAuth2Form Postを用いた暗示的なフロー対応
OIDC/OAuth2ハイブリッドフロー対応
OIDC/OAuth2クライアントの資格情報非対応
OIDC/OAuth2デバイス認可非対応
OIDC/OAuth2リソース所有者のパスワード(ROP)非対応
SAMLサービスプロバイダー起点(SP-initiated)対応
SAMLIDプロバイダー起点(IdP-initiated)非対応*
WS-Federation該当なし対応
AD/LDAP該当なし対応
*Adaptive MFAは 起点フローには対応していませんが、OIDCアプリケーションを使用してフローをシミュレートすることは可能です。詳細については、「IdP起点SAMLサインオンをOIDCアプリに構成」をお読みください。

ソーシャル接続

Adaptive MFAは、ユーザーごとにメールアドレスが用意されている場合、ソーシャル接続タイプを完全にサポートします。 Adaptive MFAでは、ユーザーがMFAに登録していない場合に生じるメールチャレンジステップをメールアドレスで完了することを義務付けています。メールアドレスを使用できない場合は、メールチャレンジを実行することができず、トランザクションはブロックされます。このシナリオではセキュリティリスクは生じませんが、使える機能は制限されます。 ソーシャル接続を設定した後、メールアドレスを使用できるつもりでいたが実際にできない場合は、構成を確認した上で正しいスコープ、クレーム、および権限を要求しているか確認してください。サポートされるソーシャル接続とそのインストール方法の詳細については、「Auth0 Marketplaceでのソーシャル接続」をお読みください。

Auth0の機能

以下の表は、Adaptive MFAを使ったAuth0の実装と機能をまとめたものです。
ログインフローの実装Adaptive MFAサポートレベル
ユニバーサルログインサポート
クラシックログイン、カスタマイズなしサポート
クラシックログイン(Auth0がホスト)、lock.js Lockテンプレートのカスタムログインページサポート
クラシックログイン(Auth0がホスト)、auth0.jsカスタムログインフォームテンプレートのカスタムログインページサポート
クラシックログイン(Auth0がホスト)、メールパスワードレスフローおよびlock.jsパスワードレステンプレートのカスタムログインページサポート
クラシックログイン(Auth0がホスト)、SMSパスワードレスフローおよびlock.jsパスワードレステンプレートのカスタムログインページ要件である、メールアドレスを利用可能にしないため、サポートしていません。
リソース所有者のパスワード付与(ROPG)フローを使用するWebまたはネイティブアプリ(lock.androidおよびlock.swift SDKの旧バージョンを使用するものを含む)サポートしていますが、以下の制限付きです:
•すべてのエンドユーザーがすでにMFAに登録されている場合のみ機能します(サインアップ時にユーザーが登録を求められた時)。登録されていないユーザーは、危険なシナリオでブロックされます。
•ユーザーが新しいデバイスでログインしているかを判断するリスク評価は機能しません。ROPGフローは、リスクを特定するのに必要なブラウザークッキーをサポートしていません。
•IPレピュテーションのリスク評価が機能するには、発信元のIPアドレスから、情報を含んだauth0-forwarded-forヘッダーを渡す必要があります。
埋め込みユニバーサルログインをサポートしているSDKの最新バージョンを使用しているネイティブアプリサポート
SDKの最新バージョンおよびROPGフローを使用しているネイティブアプリサポートしていますが、以下の制限付きです:
•すべてのエンドユーザーがすでにMFAに登録されている場合のみ機能します(サインアップ時にユーザーが登録を求められた時)。登録されていないユーザーは、危険なシナリオでブロックされます。
•ユーザーが新しいデバイスでログインしているかを判断するリスク評価は機能しません。ROPGフローは、リスクを特定するのに必要なブラウザークッキーをサポートしていません。
•IPレピュテーションのリスク評価が機能するには、発信元のIPアドレスから、情報を含んだauth0-forwarded-forヘッダーを渡す必要があります。
cross-origin認証(co/認証エンドポイント)を実行するlock.jsまたはauth0.jsを使用しているあなた(Auth0ではなく)がホストするフローサポート

もっと詳しく