適用対象: 
外部テナント (詳細)
ネイティブ認証では、次の 2 つの認証フローがサポートされます。
- ワンタイム パスコード (OTP) を使用した電子メール
- セルフサービス パスワード リセット (SSPR) をサポートする電子メールとパスワード
ネイティブ認証を使用してユーザーをサインインさせるクライアント アプリでは、どちらの認証フローも使用できます。 ネイティブ認証 API を正常に呼び出すには、アプリがサポートする認証フローと機能を宣言する必要があります。 ネイティブ認証 API を使用すると、クライアント アプリは定義済みの値を使用して、サポートされているチャレンジの種類と機能をアドバタイズできます。
チャレンジの種類
チャレンジの種類は、クライアント アプリがネイティブ認証 API に対してサポートする認証フローを宣言するための要求に含まれる定義済みの値です。
次の表に、サポートされているチャレンジの種類の値を示します。
| チャレンジの種類 | Description |
|---|---|
| パスワード | このチャレンジの種類は、アプリがユーザーからのパスワード資格情報の収集をサポートしていることを示します。 |
| oob | このチャレンジの種類は、アプリケーションがセカンダリ チャネルを使用してユーザーに送信されるワンタイム パスワードまたはパスコード (OTP) コードの使用をサポートしていることを示します。 現時点では、この API は電子メールと SMS OTP のみをサポートしています。 |
| リダイレクト | このチャレンジの種類は、アプリケーションがブラウザー委任認証 (Web フォールバックとも呼ばれます) へのフォールバックをサポートしていることを示します。 すべてのネイティブ認証に準拠したアプリでは、この機能がサポートされている必要があります。 この要件は、アプリがネイティブ認証 API に対して行うすべての呼び出しで、このチャレンジの種類を含める必要があることを意味します。 クライアント アプリにこのチャレンジの種類を含めなければ、要求は失敗します。 |
ネイティブ認証で新しい認証方法がサポートされている場合は、新しい値が追加されます。
ネイティブ認証フローの課題タイプの値
次の表は、アプリがさまざまな認証フローに使用するチャレンジの種類の値をまとめたものです。
| サインアップ フロー | サインインの流れ | SSPR | |
|---|---|---|---|
| パスワードを含む電子メール | oob、 パスワード、 リダイレクト | oob、 パスワード、 リダイレクト | oob と リダイレクト |
| 電子メール OTP | oob と リダイレクト | oob と リダイレクト | 適用なし |
重要な注意事項:
- ネイティブ認証 API を直接使用するアプリでは、サポートされているチャレンジの種類を宣言するときに、リダイレクト チャレンジの種類を含める必要があります。
- ネイティブ認証 SDK (Android、iOS、または JavaScript) を使用するアプリでは、SDK に自動的に 含まれるリダイレクト チャレンジの種類を含める必要はありません。
能力
クライアント アプリでは、チャレンジの種類に加えて、 機能の一覧を指定できます。
challenge_typeでは、アプリがサポートする認証方法を定義しますが、capabilitiesは、クライアント アプリが処理できる追加のフローと、ユーザーに提供できる UI エクスペリエンスを示します。
ネイティブ認証 API では、次の機能がサポートされています。
-
mfa_required: クライアント アプリが多要素認証 (MFA) フローを処理できることを示します。これには、ユーザーが必要に応じて MFA チャレンジを完了するための適切な UI の表示が含まれます。 -
registration_required: クライアントは強力な認証登録を処理できます。登録 API を呼び出し、UI を表示して、強力な認証方法の登録をユーザーに案内できます。
サポートされていない課題の種類と機能の挙動
次の表は、ネイティブ認証 API またはクライアント アプリが特定のチャレンジの種類または機能をサポートしていない場合の動作をまとめたものです。
| Scenario | 行動 |
|---|---|
| クライアント アプリにサポートされていないチャレンジの種類が含まれている | ネイティブ認証 API はエラーを返し、要求を無効として扱います。 |
| クライアント アプリにサポートされていない機能が含まれている | ネイティブ認証 API はエラーを返し、要求を無効として扱います。 |
| クライアント アプリに必要なチャレンジの種類を含めできない | アプリは、管理者によって構成されたチャレンジの種類をサポートしていません。 ネイティブ認証 API は 、Web フォールバックを開始します。 |
| クライアント アプリに必要な機能を含めできない | MFA または強力な認証登録が必要ない場合、アプリは通常機能します。 これらの機能が必要であってもサポートされていない場合、ネイティブ認証 API は Web フォールバック を開始して認証フローを完了します。 |