> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-docs-event-stream-action-templates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# 非永続セッション

> Auth0で使用できる非永続セッションについて説明します。

永続セッションでは、ユーザーがブラウザーを閉じた後、同じデバイスでブラウザーを開くと、セッションが維持されたままになります。ユーザーエクスペリエンスを拡張しながらアクセスを安全に保護するために、非永続セッションはブラウザーが閉じたときにセッションのクッキーを無効化します。

<Warning>
  第一要素の認証方法としての生体認証は、非永続セッションでは動作しません。
</Warning>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Auth0のPSaaSは、現在、すべてのテナントを対象に、非永続セッション向けの機能をサポートしています。既存の機能を上書きするには、テナントベースの非永続セッションを使用します。
</Callout>

## ブラウザーに関する制限事項

一部の状況では、非永続セッションがテナント設定で適用**できない** ことがあります。これには以下のような例が挙げられます。

* ユーザーがブラウザーでセッション復元設定を有効化しているため、セッションの復元でセッションのクッキーも復元される。
* ユーザーがタブを閉じた後、ブラウザーのウィンドウを閉じていないため、アイドル有効期限や絶対有効期限でセッションが終了するまでセッションのクッキーが消去されない。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  これらのインスタンスでは、非永続セッションによってセキュリティが向上することは**ありません** 。
</Callout>

## セッション

セッションはブラウザーのクッキーとサーバー上のセッションレコードで構成されます。非永続セッションではクッキーが維持されることなく、テナントのタイムアウトが設定されるため、ユーザーがデバイスから手動でログアウトする必要はありません。

セッションのライフライムは、システムが長期のセッションをどれくらい長く維持するかを決定し、テナントごとに構成できます。セッションの絶対有効期限は、セッションが作られたときに定義されます。ユーザーセッションに非永続の設定を有効にするか、ブラウザーが閉じた後でもセッションが継続することを許可できます。絶対有効期限や非永続の設定は、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=auth0-dashboard" tip="Auth0 Dashboard: サービスを構成するためのAuth0の主製品。" cta="用語集の表示">Auth0 Dashboard</Tooltip>または<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=management-api" tip="Management API: 顧客が管理タスクを実行できるようにするための製品。" cta="用語集の表示">Management API</Tooltip>を使って調整することができます。詳細については、「[セッションライフライムの設定を構成する](/docs/ja-jp/manage-users/sessions/configure-session-lifetime-settings)」をお読みください。

## クッキー

Auth0プラットフォームは、セッション、多要素認証、デバイスという3種類のクッキーを使用します。Auth0テナントを構成すると、これらはすべて非永続に変わります。テナントのタイムアウトはセッションの期限切れをトリガーします。

非永続セッションを有効にすると、認可サーバーとのやり取りで以下のクッキーがセッションクッキーとして発行されます。

* `auth0` / `auth0_compat`
* `auth0-mf` / `auth0-mf_compat`
* `did` / `did_compat`

詳細については、「[Authentication APIクッキー](/docs/ja-jp/manage-users/cookies/authentication-api-cookies)」をお読みください。

## テナントの構成

テナントは以下の2通りの方法でセッションを扱うように構成できます。

* **Persistent（永続）** ：ブラウザーが閉じた後でもセッションクッキーが維持されます。
* **Non-Persistent（非永続）** ：セッションクッキーは維持されません。ブラウザーは、ブラウザーのセッションが終わるまで、セッションクッキーを維持します。詳細については、[IETF Datatrackerに掲載の「HTTP State Management Mechanism」](https://datatracker.ietf.org/doc/rfc2109/)をお読みください。

Dashboardでこれらの設定を構成するには、以下を行います。

1. [［Dashboard］>［Tenant Settings（テナントの設定）］](https://manage.auth0.com/#/tenant)に移動して、**［Advanced（詳細設定）］** ビューを選択します。
2. **［Session Expiration（セッションの有効期限）］** セクションまでスクロールして、**［Idle Session Lifetime（アイドルセッションライフタイム）］** と\*\*［Maximum Session Lifetime（最大セッションライフタイム）］\*\* に希望する設定を入力し、**［Save（保存）］を選択します。**

   | 設定                                      | 説明                                                                                                                                      |
   | --------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------- |
   | Idle Session Lifetime（アイドルセッションライフタイム）  | 認可サーバーとのやり取りがなくなってから、ユーザーのセッションが失効するまでの時間（分）です。エッセンシャルプランとプロフェッショナルプランでは4,320分（3日）、エンタープライズプランでは144,000分（100日）を超えると、システム制限によって置き換えられます。 |
   | Maximum Session Lifetime（最大セッションライフタイム） | アクティビティにかかわらず、ユーザーに再ログインを求めるまでの時間（分）です。デベロッパープランとデベロッパープロプランでは43,200分（30日）、エンタープライズプランでは525,600分（365日）を超えると、システム制限によって置き換えられます。         |

## Management API

Management APIを使用すると、非永続セッションを有効化するだけでなく、セッションのライフタイムやアイドルセッションライフタイムに値を設定したり、セッションクッキーのプロパティを設定したりできます。詳細については、「[Management APIのテナント更新エンドポイント](https://auth0.com/docs/api/management/v2/tenants/patch-settings)」をご覧ください。