メインコンテンツへスキップ

Overview

重要なコンセプト
  • Auth0 DashboardまたはManagement APIを使ってパスワードのリセットをトリガーする
このトピックでは、データベース内のユーザーのパスワードをリセットする各種方法をご紹介します。パスワードを変更できるのは、データベース接続のユーザーに限ります。ソーシャル接続またはエンタープライズ接続を使ってサインインしているユーザーは、IDプロバイダー(GoogleやFacebookなど)のパスワードをリセットする必要があります。以下の手順はユーザーのメールアドレスがわかっている場合のみ有効です。 ユーザーパスワードの変更には、2つの基本的な方法があります。
ユーザーのパスワードをリセットすると、そのユーザーのセッションが期限切れになります。

他のトピックをお探しですか?

インタラクティブなパスワードリセットフローをトリガーする

インタラクティブなパスワードリセットフローをトリガーする方法は、ユニバーサルログインページ経由とAuthentication API経由の2つがあり、どちらが適しているかはユースケースによって決まります。

ユニバーサルログインページ

アプリケーションがユニバーサルログインを使用している場合、ユーザーは、ログイン画面のLockウィジェットを使ってパスワードリセットメールをトリガーします。ユニバーサルログインを使う場合、ユーザーは**[Don’t remember your password?(パスワードをお忘れの場合)]** というリンクをクリックして、メールアドレスを入力します。すると、POST要求がAuth0に送られ、パスワードリセットのプロセスがトリガーされます。ユーザーはパスワードリセットのメールを受信します。

Authentication API(認証API)

アプリケーションがAuthentication APIを通じたインタラクティブなパスワードリセットフローを採用している場合は、POST呼び出しを行います。emailフィールドにパスワードを変更する必要があるユーザーのメールアドレスを入力します。呼び出しが成功すると、ユーザーはパスワードリセットのメールを受信します APIをブラウザーから呼び出す場合は、送信元URLが許可されていることを確認してください: [Auth0 Dashboard]>[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動して、URLを**[Allowed Origins (CORS)(許可されているオリジン(CORS))]** のリストに追加します。 カスタムデータベース接続の場合は、Authentication APIでchangePasswordを呼び出す前にデータベースにそのユーザーが存在しないかどうかをチェックします。

パスワードリセットメール

パスワードリセットのプロセスがどの方法でトリガーされた場合でも、ユーザーに、パスワードのリセット用リンクがメールで届きます。
Password Reset Email
ユーザーがリンクをクリックすると、パスワードリセットページに移動します。 ユーザーが新しいパスワードを入力・送信すると、新しい資格情報でログインできるようになった旨が表示されます。 パスワードリセットについての注意事項:
  • メール内のリセット用リンクは1回しか使用できません。
  • ユーザーが複数のパスワードリセットメールを受信した場合は、直近のメール内のリンクのみが有効です。
  • [URL Lifetime(ライフタイム)] フィールドは、リンクの有効期間を示します。Auth0 Dashboardからパスワード変更メールをカスタマイズしてリンクのライフタイムを変更できます。
  • Auth0 Actionsを使ってパスワードリセットフローに他の要素を含めることもできます。詳細については、「パスワードリセットフロー」をお読みください。
クラシックログインでは、パスワードリセットの完了後にユーザーをリダイレクトするURLを構成できます。このURLが、成功したというサインとメッセージを受け取ります。詳細については、「メールテンプレートをカスタマイズする」の「リダイレクト先URLの構成」セクションをお読みください。 ユニバーサルログインでは、成功するとユーザーをデフォルトのログインルートにリダイレクトし、ユニバーサルログインフローの一部としてエラーケースを処理します。このエクスペリエンスでは、メールテンプレートにあるリダイレクトURLが無視されます。

パスワードリセットチケットを生成する

Management APIにはCreate a Password Change Ticketエンドポイントがあり、パスワードのリセットメールの場合と同じようにURLが生成されます。メール配信方式が適切でない場合は、生成されたURLを使用できます。デフォルトのフローでは、メールの配信がユーザーのIDを検証しますが(偽装者によるメール受信箱へのアクセスを防ぐため)、チケットのURLを使用する場合は、アプリケーションが何らかの手段でユーザーのIDを検証しなければなりません。

新しいパスワードを直接設定する

パスワードリセットメールを送らずに、ユーザーの新しいパスワードを直接設定するには、Management APIまたはAuth0 Dashboardのいずれかを使います。
ユーザーのパスワードを変更しても、そのユーザー本人には通知されません。

Management APIの使用

独自のパスワードリセットフローを実装したい場合は、Management APIへのサーバー要求からユーザーパスワードを直接変更できます。それには、Update a UserエンドポイントPATCH呼び出しを行います。

Auth0 Dashboardを使ってユーザーパスワードを手動で設定する

Auth0テナントの管理者権限を持っていれば誰でも、[Auth0 Dashboard]>[User Management(ユーザー管理)]>[Users(ユーザー)]からユーザーのパスワードを手動で変更できます。
  1. パスワードを変更したいユーザーの名前を選択します。
  2. ページ下部の [Danger Zone(危険ゾーン)] に移動します。
  3. 赤い [Change Password(パスワード変更)] ボックスで [Change(変更)] を選択します。
    パスワードを手動で設定する
  4. 新しいパスワードを入力して、[Save(保存)] を選択します。