メインコンテンツへスキップ
クライアントが開始するバックチャネル認証(CIBA)機能を使用するには、エンタープライズプランまたは適切なアドオンが必要です。詳しくは、「[Auth0の価格設定]」(https://auth0.com/pricing/)を確認してください。
クライアントが開始するバックチャネル認証(CIBA)フローは、OpenID Foundationが定義する分離型認証・認可フローです。CIBAフローは、CIBAリクエストを開始するデバイス(消費デバイス)とユーザーが認証に使用するデバイス(認証デバイス)が異なる非同期ワークフローで利用できます。 CIBAをAuth0で構成するには、以下を行う必要があります。

前提条件

アプリケーションのCIBAを構成する前に、アプリケーションの認証方法を必ず設定してください。CIBAフローには、mTLS認証、秘密鍵認証を含む、どの認証方法でも使用できます。 アプリケーションの認証方法を設定するには、「[資格情報の設定]」(/docs/get-started/applications/credentials)をお読みください。

アプリケーションに対してCIBA付与タイプを構成する

アプリケーションに対してCIBA付与タイプを構成するには、Auth0 DashboardまたはManagement APIを使用します。 CIBA付与タイプを使用できるクライアントのタイプにはいくつかの制限があります。以下の条件を満たしている場合しか、CIBA付与タイプを使用できません。
  • クライアントがファーストパーティ、すなわち、is_first_partyプロパティがtrueでなければなりません。
  • クライアントは認証メカニズムのある非公開のクライアント、すなわち、token_endpoint_auth_methodプロパティの値がnone以外でなければなりません。
  • クライアントがOIDC準拠、すなわちoidc_conformanttrueでなければなりません。これは、すべての新規クライアントのデフォルトです。
CIBA付与タイプを有効にしたら、アプリケーションが使える通知チャネルの構成設定が表示されます。
Auth0 DashboardでアプリケーションのCIBAを構成する手順はこちらです。
  1. Auth0 Dashboardで[アプリケーション] > [アプリケーション]に移動します。
  2. アプリケーションを作成したら、**[付与タイプ]タブで[クライアントが開始するバックチャネル認証(CIBA)]**を有効にします。
  1. **[変更を保存]**をクリックします。

アプリケーションの通知チャネルを有効にする

クライアントが開始するバックチャネル認証(CIBA)機能を使用するには、エンタープライズプランまたは適切なアドオンが必要です。詳しくは、「[Auth0の価格設定]」(https://auth0.com/pricing/)を確認してください。
アプリケーションのCIBA付与タイプを有効にしたら、CIBAフローで有効にする通知チャネルを構成できるようになります。通知チャネルを複数有効にした場合は、CIBAがrequested_expiryパラメーターの値によって使用する通知チャネルを決定します。requested_expiryは、CIBAセッションが有効な最大の秒数を決定します。
  • モバイルプッシュ通知requested_expiryを300秒以内の値に設定すると、CIBAはモバイルプッシュ通知チャネルを使用します(有効な場合)。
  • メール通知requested_expiryを301秒から259200秒(72時間)の間の値に設定すると、CIBAはメール通知チャネルを使用します(有効な場合)。
Auth0 Dashboardでアプリケーションの通知チャネルを構成する手順はこちらです。
  • **[アプリケーション] > [アプリケーション]**に移動します。
  • アプリケーションの設定で**[クライアントが開始するバックチャネル認証(CIBA)]**セクションに移動し、有効にする通知チャネルを選択します。

通知チャネルを構成する

クライアントアプリケーションの通知チャネルを有効にしたら、次はCIBAフローの通知チャネルを構成します。

モバイルプッシュ通知を構成する

CIBAでモバイルプッシュ通知を送信するには、以下を使用できます。
  • Auth0 Guardianアプリ
  • Auth0 Guardian SDKと統合されたカスタムアプリ
Auth0 Guardianのプッシュ通知を有効化する際に、使用するアプリを選択できます。カスタムアプリを使用したい場合は、そのアプリをAuth0 Guardian SDKと統合する必要があります。これにより、認可するユーザーが、カスタムアプリ内のCIBAフローによって開始されたプッシュ通知チャレンジを承認できるようになります。 モバイルプッシュ通知を構成するには、必ず以下を行います。

Auth0 Guardianのプッシュ通知を有効にする

Auth0 Dashboardを使用して、テナントに対してAuth0 Guardianのプッシュ通知要素を有効にします。 Auth0 Dashboardで以下を行います。
  • [セキュリティ] > [多要素認証]を選択します。
  • **[Auth0 Guardianを用いたプッシュ通知]**を有効にします。これには、の設定が必要になる場合があります。詳しくは、「[MFA用プッシュ通知を構成する]」(/docs/secure/multi-factor-authentication/multi-factor-authentication-factors/configure-push-notifications-for-mfa)をお読みください。
  • **[プッシュ通知アプリ]**で希望するアプリを選択します。
  • **[保存]**をクリックします。

認可するユーザーをプッシュ通知を用いたMFAに登録する

ユーザーがMFAプッシュ通知を用いるように登録されていない場合、Auth0はCIBAリクエストを拒否する代わりにメール通知を使用します(構成されている場合)。
Auth0 Guardianアプリとカスタムアプリのどちらの場合でも、認可するユーザーをプッシュ通知を用いたMFAに登録する必要があります。 ユーザーがに登録されているかどうかを確認するには、**[ユーザー管理] > [ユーザー]**に移動して、該当するユーザーをクリックします。
テナントでを常に必須に設定すると、ユーザーは次回のログイン時にMFAへの登録を求められます。MFA登録を求めるには、Actionsも使用できます。

メール通知を構成する

CIBAでメール通知を使用するには、有料プランでAuth0 for AI Agentsのアドオンが必要になります。詳しくは、「[Auth0の価格設定]」(https://auth0.com/pricing)をお読みください。
CIBAフローでメール通知を送信できます。CIBAのメール通知を構成するには、以下を行ってください。

メールプロバイダーを構成する

開発環境とテスト環境では、テストメールの配信にAuth0の組み込みのメールプロバイダーを使用できますが、本番環境では、ご自身のメールプロバイダーをセットアップして、CIBAのメール通知を使用する必要があります。 独自のメールプロバイダーをセットアップする方法について詳しくは、「[メールのカスタマイズ]」(/docs/customize/email)をお読みください。

メールテンプレートを構成する

以下の方法で非同期承認メールテンプレートを構成します。
  1. **[ブランディング] > [メールテンプレート]**に移動します。
  2. **[テンプレート]のドロップダウンメニューから[非同期承認]**を選択します。
  3. テンプレートフィールドを構成するの手順に従って残りのテンプレート設定を入力します。

認可するユーザーに検証済みメールアドレスがあることを確認する

ユーザーに検証済みメールアドレスがない場合、Auth0はCIBAメールリクエストを拒否します。
CIBAでメール通知を送信するには、認可するユーザーに、そのユーザーアカウントに紐づけられた検証済みメールアドレスが必要です。 ユーザーに検証済みメールアドレスがあるかどうかを確認するには、Auth0 Dashboardで以下を行います。
  1. **[ユーザー管理] > [ユーザー]**に移動して、該当するユーザーをクリックします。
  2. **[メール]**にユーザーの検証済みメールアドレスが表示されるはずです。