メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0-feat-tab-ia.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

以下にリストされている廃止のすべてについて、Auth0では新しい動作へお客様を積極的に移行しています。サービスの中断を避けるために、これらの情報を確認した上で必要な対策を行ってください。また、テナントログを検索し、廃止された機能が原因となるエラーを見つけることができます。詳細については、「廃止エラーのログを検索する」を参照してください。 ご不明な点がありましたら、コミュニティーを確認するか、サポートセンターでチケットを作成してください。詳細は、「移行プロセス」でもご確認いただけます。

サードパーティーアプリケーション用の強化されたセキュリティ

廃止:2026年4月23日 サポート終了:2026年10月23日 Auth0は、サードパーティーアプリケーション用に、OAuth 2.1のベストプラクティスにしたがって強化したセキュリティコントロールを導入します。サポート終了日以降、POST /api/v2/clientsを介してthird_party_security_modeを指定せずに新しいサードパーティーアプリケーションを作成する場合は、強化されたセキュリティコントロール(strict)が自動的に適用されます。この変更は、2026年4月23日以前にサードパーティーアプリケーションを使用していたテナントのみを対象とし、新たに作成するアプリケーションにのみ影響します。既存のサードパーティーアプリケーションは、引き続き現在と同様に機能するため、変更を加える必要はありません。 強化されたコントロールは、明示的なAPI認可、PKCEの強制使用、OAuth 2.1とセキュリティのベストプラクティスに沿ったフォーカスされた機能セットを提供しています。 この変更に備えて、「サードパーティーアプリケーション用の強化されたセキュリティに移行する」を読んで影響ステータスを確認し、デフォルトのAPI権限を構成し、移行パスを選択してください。

接続で有効化されているクライアントのレガシー管理

廃止:2026年1月13日 サポート終了:2026年7月13日 Management API接続オブジェクト内にあるenabled_clientsフィールドは、次のようなシナリオで廃止されています。 廃止された機能に代わって、2つの新しいManagement APIエンドポイントが使用できます。 変更後も統合が引き続きスムーズに機能するように、「有効化されているクライアントの管理を専用の接続エンドポイントに移行する」で影響ステータスを確認し、新しいエンドポイントに移行してください。

TLS 1.2の脆弱な暗号スイート

廃止:2025年12月10日 サポート終了:2026年6月10日 サポート終了日以降は、Auth0サービスエンドポイントおよびWebアプリケーションへの接続時に最新の暗号を使用する必要があります。TLS 1.2暗号スイートは、提供するセキュリティがネットワーク通信を保護するに十分ではなくなったため、サポートを停止いたします。サポートされる暗号スイートの変更は、具体的には以下に適用されます。
  • パブリック・プライベート クラウド テナントのデフォルトドメイン(たとえば、[tenant_name].eu.auth0.com.
  • パブリック・プライベート クラウド テナントのカスタムドメイン
  • サービス関連のWebアプリケーション(たとえば、Dashboard(manage.auth0.com)、Marketplace(marketplace.auth0.com)など)
  • Auth0 CD
以下は、サポートが停止された暗号スイートのリストです。リストには、各暗号の一意のHEXコードと、IANA名が記載されています。OpenSSL名を確認するには、ciphersuite.infoへのリンクをご利用ください。 サポート終了が予定されているTLS 1.2暗号:

SSOを使用しない組織名のプロンプト

廃止:2025年10月31日 サポート終了:2026年5月1日 ビジネスユーザーに関連するクライアントアプリケーションのコンテキストで開始され(organization_usage=require)、ログインフローの開始時に組織名の入力を求めるよう構成された(organization_require_behavior=pre_login_prompt)ログインフローは、今後、既存の認証済みセッションを検討します。 これまでは、サービスがユーザーに対して組織名の入力を求め、その後、ユーザーがログインを完了する必要がありました。たとえば、パスワードベースのアカウントを持つユーザーは、選択した組織に有効な認証済みセッションがある場合でも資格情報を再入力しなければなりませんでした。

検証不可能なコールバックURIのリダイレクトを使用した未確認のログイン

廃止:2025年10月28日 サポート終了:2026年4月28日 Auth0では、認可コードフローを使用したネイティブアプリケーションに対して、できる限り、 AndroidアプリリンクAppleユニバーサルリンクを使ったHTTPSベースのコールバックに移行してセキュリティを強化し、アプリケーションのなりすましやフィッシング攻撃のリスクを軽減することを推奨しています。 加えて、Auth0は、カスタムのURIスキームまたはループバックURIをコールバックとして使用する認証要求に対し、新しいログイン確認プロンプトを導入しています。このプロンプトは、これまでユーザーの介入なしに応答が返されていた状況で表示されます。 検証不可能なコールバックURIのエンドユーザー確認に移行する」で詳細を確認してください。

秘密鍵JWT認証のオーディエンス検証

廃止:2025年10月6日 サポート終了:2025年4月8日 クライアントアプリケーションの認証に使用するJWTアサーションを検証する際、Auth0は、より厳しい要件を課して、テナントの発行者識別子のみをaud(オーディエンス)クレーム内の単一のJSON文字列値として受け入れます 以下にリストされているいずれかのアプローチでaudクレームを提供することは、できなくなります。サポート終了日以降は、サービスによるサポートも終了します。
  • JSON配列。ただし、エントリの1つに、クライアントの認証先となるテナントやエンドポイントの有効な発行者識別子またはエンドポイントURLが含まれている場合。
  • クライアントの認証先となるテナントやエンドポイントの有効なエンドポイントURLを示すJSON文字列。
サポート終了日までは、アップストリームのIDプロバイダーに対する認証済み要求で秘密鍵JWTを使用するよう構成されているOIDCエンタープライズ接続は、JWTアサーションに含まれている「aud」クレームの中で、該当する発行者識別子をJSON文字列として表したものを使用することができます。

Azure Active Directory (v1) Identity API接続の拡張属性

廃止:2025年6月18日 サポート終了:2025年9月1日 Azure AD Graphの廃止や予定されている停止,により、Azure Active Directory (v1) Identity APIを使用するよう構成されているMicrosoft Azure AD(strategy=waad)接続で拡張属性関連のオプションを有効にする機能はサポートされなくなります。 メールで通知を受け取った場合は、テナントの中に、Azure Active Directory (v1) Identity APIをターゲットとし、拡張属性を取得するよう構成されたMicrosoft Azure AD接続を持つものがあり、影響を受ける可能性があると考えられます。 該当するテナントを必ず確認してください。廃止された機能に依存する接続については、次のいずれかを実行する必要があります。
  • 接続を更新して、ターゲットを**Microsoft Identity Platform (v2)**にします。それにより、拡張属性情報を取得する際、廃止されたAzure AD Graphに代わってMicrosoft Graphエンドポイントが使用されます。
  • 拡張属性オプションをすべてオフにします。
上記の2番目の方法では、拡張情報が不要な場合にAzure Active Directory (v1) Identity APIをターゲットにした接続を維持できることになりますが、一般には、Microsoft Identity Platform (v2) をターゲットにすることが推奨されます。詳細については、「Microsoft Azure Active Directoryにアプリを接続する」を参照してください。廃止の詳細については、Auth0サポートまでお問い合わせください。

Real-time Webtask Logs拡張機能

廃止:2025年6月18日 サポート終了:2025年9月16日 Real-time Webtask Logs拡張機能は廃止され、2025年9月16日にサポートが終了します。 代替機能として、Auth0 Dashboard内で直接、Actions Real-time Logs機能が使用できます。拡張機能は、新しいインストールには使用できなくなりますが、すでに拡張機能がインストールされているテナントでは、予定のサポート終了日までアクセスできます。

アクションの特定のイベント要求プロパティへのアクセスを削除

廃止:2025年6月18日 サポート終了:2025年9月16日 post-loginおよびcredentials-exchangeトリガーに対してアクションを実行する際、event.request.queryおよびevent.request.bodyオブジェクト内の追加プロパティ名へのアクセスが制限されます。制限の対象となる要求プロパティをアクションを使って参照することが認識されているテナントのみ、2025年9月16日まで引き続きアクセスできます。 サービスにより、要求関連オブジェクト内の次のプロパティ名が制限されます。
  • auth_session
  • authn_response
  • client_secret
  • client_assertion
  • refresh_token

カスタムの電話およびメール プロバイダー トリガーの複数のアクション

**廃止:**2025年6月16日 **サポート終了:**2025年12月16日 Auth0は、次のトリガーに関連付けられたアクションに上限を導入します。
  • custom-phone-provider
  • custom-email-provider
この制限は、Management APIのアクションを作成するエンドポイント(POST - /api/v2/actions/actions)に適用されます。新たに導入された制限がテナントに対して有効になった時点で、これらのトリガーに対して複数のアクションを作成する試みは失敗するようになります。

カスタマイズできない総当たり攻撃防御解除メールフロー

廃止:2025年6月9日 サポート終了:2025年12月9日 メールによる総当たり攻撃防御の解除フローが更新されました。更新後のフローでは、Universal Loginを通じたカスタマイズとローカライズがサポートされ、メール セキュリティ スキャナーによって解除メールが処理されるような状況での体験が改善されています。

Authentication APIのエラー応答におけるフィールドfromSandbox

廃止:2025年6月11日 サポート終了:2025年12月11日 Authentication APIのエラー応答が、カスタム データベース スクリプトの呼び出しを必要とするフローに対し、fromSandboxフィールドを返さなくなります。たとえば、カスタムデータベース接続のエンドユーザー サインアップ フローのコンテキストでは、APIエラー応答がこのフィールドを返さなくなります。

SMTPメールプロバイダーのホスト関連の変更でパスワードの省略を許可

廃止:2025年5月13日 サポート終了:2025年11月13日 SMTPメールプロバイダーのホストやポート、ユーザー名などを、/api/v2/emails/provider endpointへのPATCH要求を使って更新する際、credentials.smtp_passフィールド用のパスワードを指定する必要があります。 SMTPメールプロバイダーの認証情報オブジェクトは、以下のフィールドをサポートします。
  • credentials.smtp_pass:SMTPメールプロバイダーのパスワード
  • credentials.smtp_host:SMTPメールプロバイダーのホスト
  • credentials.smtp_port:SMTPメールプロバイダーのポート
  • credentials.smtp_user:SMTPメールプロバイダーのユーザー名
次のようなケースでは、credentials.smtp_passフィールドに明示的な値が求められます。
  • SMTPメールプロバイダーのcredentials.smtp_hostcredentials.smtp_portcredentials.smtp_userフィールドを、既存の値とは異なる値で更新する場合、または、これら3つのフィールドの一部のみを更新する場合。
次のようなケースでは、credentials.smtp_passフィールドに明示的な値が求められません。
  • SMTPメールプロバイダーを更新し、要求本文にcredentials.smtp_hostcredentials.smtp_portcredentials.smtp_userフィールドの既存の値と同じ値が含まれている場合。

接続Management APIにおけるオフセットのページネーションが無制限

廃止:2025年4月29日 サポート終了:2025年10月27日 Management APIの全接続取得エンドポイントで使用できるオフセットベースのページネーションで、最初の1000の接続を超えた分の結果を取得することができなくなります。 たとえば、page=30&per_page=50またはpage=15&per_page=100を使用すると、エラー応答が返されます。どちらの状況でも、ページあたりの要求レコード数に、要求されたページインデックスに1を足した数(ゼロを起点としたページインデックスを考慮)を掛けた値が、最初の1000の接続を超えた要求になります。 上記にしたがい、ページサイズが50の場合、エラーにならずに要求できる最後のページインデックスは19(page=19&per_page=50)になり、最大ページサイズが100の場合は、ページインデックス番号9(page=9&per_page=100)まで要求できます。 要求に関連したテナントの接続数が1000を下回る場合でも、条件が上限を超えるとエラーが表示されます。

Node.js 12・16の拡張性ランタイム

廃止:2025年2月10日 サポート終了:2025年8月15日 Node.js 12・16の拡張性ランタイムは、Auth0のテナントで徐々に使用できなくなります。同時に、アクションやルール、フック、カスタムデータベース接続など、すべての拡張性統合が強制的にNode 22で実行されるようになります。 Node 22への移行に関連する技術リソースについては、「Node 12および16からNode 18への移行」と「Node 18からNode 22への移行」を参照してください。

接続オプションに必要な新しいManagement APIスコープ

廃止:2024年10月24日 サポート終了:2025年7月8日 以下のManagement APIエンドポイントへの要求では、optionsフィールドを表示するためにread:connections_optionsスコープが必要になります。 以下のManagement APIエンドポイントへの要求では、optionsフィールドを変更するためにupdate:connections_optionsが必要になります。

ルールとフックの廃止

廃止:2023年5月16日 読み取り専用遷移: 2024年11月18日 サポート終了:2026年11月18日 2026年11月18日以降、ルールとフックは、実行が停止され、使用できなくなります。 2024年11月18日以降、アクティブなルールやフックは、引き続き実行されますが、読み取り専用モードへの低下が予定されています。Auth0は、RulesおよびHooks機能の削除を将来に先送りしました。 読み取り専用のルールやフックは、有効と無効を切り替えたり、それぞれに構成された値やシークレットを編集したりできますが、TerraformやAuth0 Deploy CLIなどのCI/CDツールを含め、DashboardやManagement APIでソースコードを編集することはできません。 読み取り専用遷移に先だってActionsへ移行できない場合には、テナント構成の変更をデプロイするように構成済みの自動化CI/CDフローが、RulesやHooksで非対応の管理操作を試行しないようにしてください。 詳細については、「RulesからActionsに移行する」と「HooksからActionsに移行する」を参照してください。

Universal LoginでWCAG 2.2 AA準拠のUIを有効にする

**廃止:**2024年8月23日 **サポート終了:**2025年7月31日 Auth0は2025年2月23日をもって、でレガシーの非準拠UIを使用できないようにします。新しいWCAG準拠のバージョンは、支援技術の利用者を含めて、エンドユーザーが確実に顧客の製品やサービスにアクセスし、利用できるようにします。詳細については、Universal Loginのアクセシビリティに関するドキュメントをお読みください。

参考情報