日本語
  • release

Logto 製品アップデート

Logto v1.38.0 がリリースされました。このリリースでは、OAuth 2.0 デバイス認可グラントのサポート、パスキーサインイン、適応型 MFA、セッションやグラント管理、さらに OSS デプロイメント向けに柔軟な OIDC 設定が追加されています。

Charles
Charles
Developer

ユーザー認証に何週間も費やすのはもうやめましょう
Logto でより速く安全なアプリをリリース。数分で認証を統合し、コア製品に集中できます。
始めましょう
Product screenshot

Logto v1.38.0(2026 年 3 月リリース)を発表できることを嬉しく思います!このアップデートでは、入力制限デバイス向けデバイスフロー追加、パスキーサインインと適応型 MFA の改善、セッション・グラント・テナントレベル設定の拡張など、多くの機能が Logto に追加されています。

入力制限デバイス向けデバイスフロー

本リリースの最大の追加機能のひとつが OAuth 2.0 デバイス認可グラントのサポートです。これにより、フルキーボードやブラウザーが利用できないスマート TV、CLI ツール、ゲーム機、IoT デバイスなどの認証フロー構築が格段に簡単になりました。

デバイスフローを使うことで、ユーザーは以下のことが可能です:

  • デバイス上でサインインを開始
  • 別のデバイスで認証用 URL を開く
  • 短いユーザーコードを入力
  • そこで認証を完了
  • 発行されたトークンで元のデバイスに戻る

また、デバイスフローアプリケーション向けにコンソールの完全サポートも追加されました。入力制限アプリ / CLI をネイティブアプリで選択する、または手動でアプリを作成する際にデバイスフローを認可フローとして選ぶことで、デバイスフローアプリが作成可能です。アプリ設定ページにはガイドとデモも組み込まれており、すぐに始められます。

パスキーサインインが正式なフローに

このリリースから、パスキーサインインが Logto 上で完全な認証手段として導入されました。

パスキーサインインは、パスワードなしで高速な再ログイン体験とセキュリティ向上を両立します。Face ID、Touch ID、Windows Hello など、なじみのあるプラットフォーム認証器と連携します。

今回、いくつかのパスキーベース導線のサポートを追加しました:

  • すぐにサインインできる専用の パスキーで続行 ボタン
  • パスワードや認証コードよりもパスキー検証を優先する識別子優先フロー
  • ブラウザの自動入力により、識別子入力欄に登録済みパスキーを選択可能
  • 新規ユーザー登録時のパスキー連携対応
  • WebAuthn MFA 資格情報を再登録せずそのままパスキーサインインに利用可能

詳細は パスキーサインインドキュメント をご覧ください。

適応型 MFA と MFA ガイダンスの強化

モダンな MFA 体験の実現に向けて、今回も主に 2 つの大きな改善を行いました。

適応型 MFA

Logto で適応型 MFA が利用可能になりました。有効化すると、サインイン時に現在のコンテキストとルールを評価し、ルールに合致した場合だけ MFA を要求します。

この機能は以下も含みます:

  • コンソールでの適応型 MFA 設定
  • インタラクションデータとしてサインインコンテキストを保存
  • カスタムクレームスクリプトで context.interaction.signInContext を参照
  • 新しい PostSignInAdaptiveMfaTriggered Webhook イベント

任意 MFA オンボーディング

MFA を必須にしていないユーザー向けに、認証情報検証後に MFA 有効化を案内する専用オンボーディングページを表示できるようになりました。

特にパスキーサインインと併用する場合、ユーザーが MFA 要素としては有効化せず、単体でパスキー利用できるシナリオで便利です。

API・コンソール全体のセッションとグラント管理

本リリースではアカウントと管理関連で、ユーザーセッションや認可アプリを管理するためのコントロールを大幅追加しています。

ユーザーセッション管理

Logto ではアカウント API と管理 API の双方でセッション管理が可能になりました。アクティブセッション一覧・詳細参照・セッション強制破棄(任意で付随するグラントも同時無効化)に対応しています。

追加項目:

  • Account Center 設定に新しい session 権限(off / readOnly / edit
  • アカウント関連 API アクセス用スコープ urn:logto:scope:sessions の追加
  • セッション情報の詳細(IP、ユーザーエージェント、GEOロケーション等)

コンソール側では、ユーザー詳細に アクティブセッション セクションとセッション詳細ページ(破棄ボタン付)が追加されました。

認証済みアプリグラント管理

Logto でアプリグラント一覧表示と強制失効を、アカウント API・管理 API 共にサポートしました。

また、コンソールのユーザー詳細ページに 認可済みサードパーティアプリ セクションが追加され、アクティブな認可一覧やアプリ名・作成日時などのメタデータ閲覧、アクセス権限の直接 UI からの削除が可能です。

アプリ単位の同時デバイス制限

アプリケーションごとに customClientMetadatamaxAllowedGrants を指定し、特定アプリのユーザーが保持できるアクティブグラント数を制限できるようになりました。上限を超えた場合、最も古いグラントが自動的に失効されます。

コンソールにもアプリ詳細内に 同時デバイス数制限 セクションが新設され、ビジュアルに設定可能です。

OIDC 設定の OSS 向けコントロール強化

OSS ユーザー向けに、OIDC 設定がより柔軟かつ管理しやすくなりました。

logto-configoidc.session.ttl を指定することで、OIDC プロバイダーのセッション TTL を秒単位でカスタマイズ可能です(未設定の場合、デフォルトは 14 日)。

さらに次の API が追加されました:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

コンソール側は、OSS 環境で新たに テナント -> 設定 ページと OIDC 設定 タブが追加され、従来の署名鍵ページを置き換えています。新ページではセッション TTL を日付単位で設定できる 最大存続期間 欄も追加されています。

OSS で運用中の際は、設定変更後のサービス再起動をお忘れなく!設定変更を即時反映したい場合は Central Redis Cache の導入もご検討ください。

Account Center の改善

組み込みの Account Center もアップグレードされています。

ユーザーは:

  • /authenticator-app/replace ルートから認証アプリの交換が可能に
  • identifier URL パラメーターで識別子欄を事前入力
  • ui_locales URL パラメーターで Account Center の言語を上書き

また、パスワードフォームの自動入力・パスワードマネージャ対応も強化しています。

開発者向け API の改善

他サービスから Logto へユーザー移行を行うチーム向けに、GET /users および GET /users/:userId エンドポイントで includePasswordHash クエリパラメーターが指定可能になりました。有効時は応答に passwordDigestpasswordAlgorithm が含まれ、パスワードハッシュの移行が容易です。

また、サービス間委任でのアクセストークンエクスチェンジもサポート。Logto は不透明または JWT アクセストークンを、標準 urn:ietf:params:oauth:token-type:access_token トークンタイプを用いて、異なるオーディエンスへの新たなアクセストークンに交換できます。

バグ修正

以下を含む多くの安定性と互換性改善も行いました:

  • TOTP, WebAuthn, バックアップコードの MFA 検証ルートが Sentinel へアクティビティ送信。繰り返し失敗をより把握しやすく。
  • OIDC アダプターの findByUidfindByUserCode がリテラル JSONB キーにより、プリペアド汎用プラン時の式インデックス運用を最適化。
  • Postgres プール初期化時に一時的な接続エラー発生時の再試行を追加。
  • レガシーパスワード検証でユーザーインポート時 hex: プレフィックス PBKDF2 ソルト値サポート
  • トークン発行時、OIDC リソース検索のキャッシュ と グラント ID の事前生成によるトークン交換パフォーマンス改善
  • Twilio SMS の To フォーマットが非 E.164 番号でも先頭に + を必ず付与するように正規化

破壊的変更

本リリースは connector toolkit に破壊的変更を含みます。

長らく非推奨だった mockSmsVerificationCodeFileName のエクスポートは @logto/connector-kit から削除されました。

モックコネクタが送信メッセージ記録に使っていたファイルパスも変更されています:

  • /tmp/logto_mock_email_record.txt/tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt/tmp/logto/mock_sms_record.txt

ローカルや Docker ベースのワークフローで旧パス利用の場合は、パスを更新してください。

新しいコントリビュータ

Logto 改善にご協力いただいた新しいコントリビュータに感謝します:

はじめよう

アップグレードの準備はできましたか?アップグレードガイド でステップバイステップ手順を確認してください。

すべての変更内容は GitHub リリースページ でご確認いただけます。

ご質問やフィードバックは Discord でのご参加、または GitHub への issue 投稿をお待ちしています。