本記事は元々 blog.logto.io に掲載されたものです。
Logto v1.35.0、2025年12月のリリースを発表できることを大変嬉しく思います!このアップデートでは、reCAPTCHA のカスタマイズ性の向上、サードパーティアプリケーションのサポート拡大、パスワードレス認証向けのセキュリティ機能強化を提供します。
reCAPTCHA がさらに柔軟に
ドメインカスタマイズでどこでも reCAPTCHA を利用可能に
多く要望されてきた機能のひとつが、Google のデフォルトドメインにアクセスできない地域でも reCAPTCHA を利用できるようにすることでした。v1.35.0 では reCAPTCHA ドメインを recaptcha.net など任意の代替ドメインに設定できるようになり、世界中どこからでもスムーズにボット対策を実施できます。
チェックボックスモードで認証スタイルを選択
reCAPTCHA エンタープライズユーザーは、下記の 2 つの認証モードから選べるようになりました:
-
インビジブルモード: デフォルトのスコアベース認証で、ユーザーに気付かせずバックグラウンドで実行されます。シームレスなユーザー体験と強力なボット対策を両立します。
-
チェックボックスモード: おなじみの「私はロボットではありません」ウィジェットです。ユーザーが明示的に操作して認証ステップを認識できるため、より意識的な本人確認が必要な場合に便利です。
Google Cloud Console で設定した reCAPTCHA キーのタイプに合わせて、簡単に認証モードを切り替えられます。
サードパーティアプリが SPA とネイティブアプリにも対応
これまで、Logto でサードパーティアプリと指定できるのは従来型 Web アプリケーションのみでした。今回のリリースでその制限が解除され、サードパーティのシングルページアプリケーション(SPA)やネイティブアプリケーションも作成できるようになりました。
この拡張により、パートナーエコシステムの構築やサードパーティ連携、異なる信頼レベルの複数クライアントアプリケーション管理など、より柔軟な OAuth/OIDC 統合シナリオが実現できます。
パスワードレス認証向けセキュリティ強化
クライアント IP トラッキング
パスワードレス認証の追加セキュリティ管理が必要な組織向けに、コネクタメッセージのペイロードへクライアント IP アドレスのトラッキング機能を追加しました。SendMessageData 型にオプションフィールド ip が追加され、HTTPメールおよび SMS コネクタで以下の用途に活用できます:
- レートリミット: 特定 IP アドレスからのリクエスト制限により不正利用を防止
- 不正検知: IP ジオロケーションや評価に基づく疑わしいパターンの特定
- 監査ログ: セキュリティ対応やコンプライアンスに必要な包括的ログの記録
メール/SMS テンプレートの賢いフォールバック
メールおよび SMS コネクタのテンプレートフォールバックロジックを改善しました。用途別テンプレートが見つからない場合、システムが自動的に汎用テンプレートにフォールバックします。ロケール固有テンプレートが利用できない場合はデフォルトロケールの汎用テンプレートも参照し、常にユーザーへ正しい書式のメッセージが配信されることを保証します。
バグ修正
SAML 統合の改善
- リレーステート対応拡張: リレーステートカラムの文字数上限を 256 から 512 に拡張し、Firebase など長いリレーステートを発行するサービスプロバイダーとの統合問題を解決しました。
- わかりやすいエラーメッセージ: SAML 認証フロー API のエラーメッセージがより明確になり、トラブルシューティングが容易になりました。
API パラメータ修正
SAML アプリ作成 API のパラメータ名の誤りを修正し、フィルターやペイウォール計算時のエラーが解消されました。
はじめよう
アップグレードの準備はできましたか?アップグレードガイド で手順を詳しくご確認ください。
全変更点は GitHub のリリースページ をご覧ください。