Auth0 Guardianは、iOSおよびAndroidデバイス用のモバイルアプリケーションで、ユーザーはプッシュ通知または一時的なワンタイムパスワードを使用して多要素認証(MFA) を完了できます。
Auth Guardianは、ユーザーの登録済みデバイス(通常は携帯電話またはタブレット)にプッシュ通知を配信したり、アプリ内で直接ワンタイムパスワードを生成したりできます。ユーザーは、これらのプッシュ通知にすばやく応答したり、ワンタイムパスワードを取得してログインを完了したりできます。
ユーザーは、Apple App Store またはGoogle Play Store からAuth0 Guardianアプリをダウンロードできます。または、Guardian SDKを使用して、Auth0 Guardian機能を独自のカスタムアプリに埋め込むこともできます。
プッシュ通知を使用するには、ユーザーのデバイスにAuth0 GuardianアプリまたはGuardian SDKで構築されたカスタムアプリがインストールされている必要があります。ユーザーが認証を試みると、インストールされたアプリにプッシュ通知が送信されます。ユーザーは、ログイン情報を知っていることと、MFA
Auth0プッシュ通知は、AWS Simple Notification Service (SNS)または次のベンダー直結サービスのうち1つ以上を使用して実装し、ベンダー固有の統合を構成できます。
Firebase Cloud Messaging(FCM)
Apple Push Notification(APN)
Auth0 Guardianを使用してプッシュ通知を構成すると、ユーザーは最初にサインアップまたはアプリケーションにログインするときに、モバイルアプリをダウンロードするように求められます。Guardian SDKを使用してカスタムアプリにプッシュ通知を実装する場合、ユーザーは登録中にアプリケーションをダウンロードするように求められません。
Auth0 Dashboard [Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]>[Push Notification using Auth0 Guardian(Auth0 Guardianを使ったプッシュ通知)] から、プッシュ通知を有効にすることができます。ユーザーが初めてアプリケーションにサインアップまたはログインすると、Auth0 GuardianアプリまたはカスタムのGuardian SDKアプリを第二認証要素として登録できるQRコードをユニバーサルログイン が提供します。ユーザーは、指定されたアプリでこのコードをスキャンして登録を完了するまでの時間が短くなります。
ユーザーが登録すると、プッシュ通知を認証要素として使用できます。ユーザーがアプリケーションにログインしようとするたびに、Auth0 GuardianまたはカスタムGuardian SDKアプリを介してデバイスにプッシュ通知が届きます。ユーザーは、アプリケーションに正常にログインするために、この要求を承認する必要があります。
デバイスや回復コードを失くしてしまったユーザーのためにMFAをリセットする方法については、「多要素認証と回復コードをリセットする 」を参照してください。さらにサポートが必要な場合は、「多要素認証のトラブルシューティング 」を参照してください。
Auth0 GuardianアプリとGuardian SDKは、二次認証要素として一時的なワンタイムパスワード(OTP)の使用もサポートしています。アプリとSDKはどちらも、ユーザーがユニバーサルログインMFAチャレンジを完了するために使用できる一時的なOTPを生成できます。
デフォルトでは、Auth0 Guardianアプリには、ユーザーが登録したアプリケーションが一覧表示されます。アプリケーションを選択すると、そのアプリケーションに対応するOTPが表示されます。6桁の各OTPは30秒間有効です。有効期限が近づいているOTPは赤で表示されます。有効期限が切れると、アプリはすぐに新しいOTPを生成します。認証の失敗を回避するために、ユーザーは赤のOTPを使用しないでください。
カスタムGuardian SDKアプリでは、OTPの外観が異なる場合があります。
OTPは、主に次の2つの方法で活用できます。
Auth0 Guardianアプリまたはその他のカスタムアプリがプッシュ要求を受信しなかった場合に、プッシュ通知のフォールバックオプションとして。
テナント で要素にワンタイムパスワードを有効化した場合のMFAチャレンジ として。
フォールバック方法 通知をプッシュするフォールバックオプションとしてOTPを使用する
Auth0 Guardianや他のカスタムアプリを介してプッシュ通知を受信しないユーザーは、代わりに一時的なOTPを使用してMFAチャレンジを完了できます。 ユーザーフロー例 :
ユーザーがアプリケーションへのログインを試行する。ユニバーサルログインMFAプロンプトが表示されるが、プッシュ通知を受信しない。
MFAプロンプトで、ユーザーが**[Manuallay Enter Code(手動でコードを入力する)]** ボタンを選択する。OTPを使用して認証するには、このオプションを選択する必要がある。
ユーザーがAuth0 GuardianまたはカスタムGuardian SDKアプリを開き、アクセスしようとしているアプリケーションを選択する。
ユーザーが、[Account Detail(アカウント詳細)]ページの下部に表示されるOTPをコピーする。
ユーザーがMFAプロンプトにOTPを入力してチャレンジを完了する。
MFAチャレンジ OTPをMFAチャレンジとして使用する
ユーザーがOTPで認証できるようにするには、ワンタイムパスワード をテナントのMFA要素 として有効化する必要があります。有効化すると、ユーザーがユニバーサルログインを通してログインするときに、OTPを使ってMFAプロンプトを完了することができます。MFA要素を有効化するには、[Auth0 Dashboard]>[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)] に移動します。 ユーザーはアプリケーションに初めてサインアップやログインするときに、MFA要素としてOTPを登録することができます。使用するデバイスの種類に応じて、ユニバーサルログイン が以下のいずれかを表示します。
携帯電話以外のデバイス :ユニバーサルログインはQRコードを表示し、ユーザーがスキャンして登録を続けられるようにします。
携帯電話 :ユニバーサルログインはQRコードではなく、登録コードを直接表示します。 どちらの方法でも、ユーザーは画面に表示された手順に従って、Auth0 GuardianアプリまたはカスタムのGuardian SDKアプリを認証の第2要素として登録できます。一般的に、このプロセスではユーザーがアプリケーションを適切なアプリに追加して、そのアプリケーション用のOTPを取得します。そして、ユーザーはOTPをユニバーサルログインのプロンプトに入力し、登録プロセスを完了させます。 登録を完了してから次回にユーザーがアプリケーションにログインするときには、チャレンジでAuth0 GuardianアプリまたはカスタムのGuardian SDKアプリからのOTPを入力して認証できます。 Auth0 Guardianアプリでは、ユーザーはiOSおよびAndroidでパスコードと生体認証をアプリセキュリティのレイヤーとして有効にできます。ユーザーがこれらのオプションの1つ以上を有効にすると、プッシュ通知に応答したりワンタイムパスワードを取得したりする前に、これらのチャレンジを完了する必要があります。
iOSまたはAndroidデバイスでこれらのオプションを有効にするには、ユーザーは次の手順に従います。
iOSでAuth0 Guardianアプリのセキュリティ設定を有効にする方法:
アプリで、ギアアイコン を選択すると、設定メニューが開きます。
[Passcode(パスコード)] を選択し、パスコード保護を有効にします。6桁のパスコードを設定し、確認します。
これで、アプリはパスコードによって守られます。このパスコードを入力しないと、ユーザーはプッシュ通知への応答またはOTPの取得を行うことができません。 パスコード保護を有効にしたあと、ユーザーはセキュリティ対策の代わりにデバイスの生体認証を構成することができます。デバイスの生体認証を有効にする方法:
アプリで、ギアアイコン を選択すると、設定メニューが開きます。
Face ID やTouch ID といった利用可能なオプションの一つを選択し、デバイスの生体認証を有効にします。 AndroidでAuth0 Guardianアプリのセキュリティ設定を有効にする方法:
アプリで、3点リーダーメニュー を選択すると、設定メニューが開きます。
[Always Ask for Passphrase(パスフレーズを常に聞く)] オプションの切り替えを有効にしてください。Auth0 Guardianアプリを設定している間に設定されたパスフレーズを入力します。
これで、アプリはAuth0 Guardianパスフレーズによって保護されました。このパスフレーズを入力しないと、ユーザーはプッシュ通知への応答またはOTPの取得を行うことができません。 パスフレーズ保護を有効にしたあと、ユーザーはセキュリティ対策の代わりにデバイスの生体認証を構成することができます。デバイスの生体認証を有効にする方法:
アプリで、3点リーダーメニュー を選択すると、設定メニューが開きます。
[Use Biometrics to unlock(ロック解除に生体認証を使用する)] オプションの切り替えを有効にします。 Auth0 Guardianアプリは、iOSおよびAndroidで複数の言語と方言のローカリゼーションをサポートしています。
設定メニューの言語セクションで、ユーザーは希望する言語を選択できます。デフォルトでは、アプリはデバイスシステムと同じ言語を使用します。
プッシュ通知のコンテンツのほとんどは、ユーザーが選択した言語で表示されます。ただし、プッシュ通知のタイトルは翻訳されません。これはタイトルの入力後に言語設定が取得されるためです。
Auth0 Guardianアプリは、次の言語と方言をサポートしています。
言語 コード アルバニア語 sqアムハラ語 amアルメニア語 hyアゼルバイジャン語 azバスク語 eu-ESベンガル語 bnボスニア語 bsブルガリア語 bgカタルニア語 ca-ES中国語 - 香港特別行政区 zh-HK中国語 - 簡体 zh-CN中国語 - 繁体 zh-TWクロアチア語 hrチェコ語 csデンマーク語 daオランダ語 nl英語 en英語 - カナダ en-CAエストニア語 etフィンランド語 fiフランス語 fr-FRフランス語 - カナダ fr-CAガリシア語 gl-ESジョージア語 kaドイツ語 deギリシャ語 elグジャラート語 guヒンディー語 hiハンガリー語 huアイスランド語 isインドネシア語 idイタリア語 it日本語 jaカンナダ語 kn韓国語 koラトビア語 lvリトアニア語 ltマケドニア語 mkマレー語 msマラヤーラム語 mlマラーティー語 mrモンゴル語 mnモンテネグロ語 cnrミャンマー語 myノルウェー語 noノルウェー語 - ブークモール nbノルウェー語 - ニーノシュク nnポーランド語 plポルトガル語 - ブラジル pt-BRポルトガル語 - ポルトガル pt-PTパンジャブ語 paルーマニア語 roロシア語 ruセルビア語 srスロバキア語 skスロベニア語 slソマリ語 soスペイン語 esスペイン語 - アルゼンチン es-ARスペイン語 - ラテン アメリカ es-419スペイン語 - メキシコ es-MXスワヒリ語 swスウェーデン語 svタガログ語 tlタマジット語 zghタミール語 taテルグ語 teタイ語 thトルコ語 trウクライナ語 ukベトナム語 viウェールズ語 cy
iOSとAndroidの両方のAuth0 Guardianアプリは、ライトモードとダークモードのテーマをサポートしています。
設定メニューのテーマセクションで、ユーザーは次のオプションを選択できます。
System(システム) :デフォルトのシステムテーマを使用しますLight(ライト) :ライトモードのテーマを有効にしますDark(ダーク) :ダークモードのテーマを有効にします
保護されたアプリケーションのカスタマイズオプション ユーザーがAuth0 Guardianアプリで保護されたアプリケーションを区別しやすくするために、各アプリケーションを個別の名前、アクセントカラー、アイコンでカスタマイズできます。
保護されたアプリケーションをカスタマイズするには:
リストからアプリケーションを選択します。
ヒント :アプリケーションを左にスワイプして、編集と削除のオプションを表示することもできます。
アカウントの詳細ページで [Edit(編集)] を選択します。
必要に応じて、アプリケーションの名前、色、アイコンを更新します。
[Save(保存)] を選択します。
Guardian SDK (iOS とAndroid の両方で利用可能)を使用すると、ブランディングだけでなく、外観や操作性を完全に制御した独自の多要素認証アプリケーションが構築できます。Guardian SDKを使用すると、Guardianのように動作する独自のカスタムモバイルアプリケーションを構築したり、既存のモバイルアプリケーションでプッシュ通知を受信するなどのGuardian機能を統合したりできます。典型的なシナリオは、銀行アプリです。既存のモバイルアプリでGuardian SDKを使用して、誰かがATM取引を実行したときにプッシュ通知を受信して確認できます。アクションを使用してAuth0 Guardianで多要素認証を有効にする アクション内でAuth0 Guardianを有効化するには、多要素認証を有効にする際にproviderパラメーターとしてguardianを渡します。
exports . onExecutePostLogin = async ( event , api ) => { api . multifactor . enable ( 'guardian' , { allowRememberBrowser: false }); };
ユーザーが毎回Auth0 Guardianを使ってログインすることを強制するには、allowRememberBrowser: falseを使ってアクションを作成します。
Auth0 GuardianとAuthorization Extensionによる多要素認証 このテンプレートは例として条件が満たされた場合にプッシュ通知用にAuth0 Guardianで多要素認証をトリガーする始点を提供します。
初めてログインした後、ユーザーはデバイスを登録することができます。Mの詳細については、「多要素認証を有効にする」を参照してください。
exports . onExecutePostLogin = async ( event , api ) => { const groups = event . user . app_metadata . authorization . groups ; const GROUPS_WITH_MFA = { // Add groups that need MFA here // Example admins: true }; const needsMFA = !! groups . find ( function ( group ) { return GROUPS_WITH_MFA [ group ]; }); if ( needsMFA ) { // optional, defaults to true. Set to false to force Guardian authentication every time. // See https://auth0.com/docs/secure/multi-factor-authentication/customize-mfa#change-frequency-of-mfa-prompts for details api . multifactor . enable ( 'guardian' , { allowRememberBrowser: false }); } };
![[Manuallay Enter Code(手動でコードを入力する)]ボタンを表示するMFAプロンプトの例](https://mintcdn.com/generaltranslationinc/pd2Xk6Hu-Ldfi_VV/docs/images/ja-jp/cdy7uua7fh8z/7reEOLI5CWxbpRzgZY7gxg/5cea15c9d8586a68df32c42d292c7478/MFA_-_Push_-_Japanese.png?fit=max&auto=format&n=pd2Xk6Hu-Ldfi_VV&q=85&s=6c49257ce81db222298128bd450ac88f)
