メインコンテンツまでスキップ

サインアップとサインイン

サインアップとサインインは、エンドユーザーがクライアントアプリケーションへのアクセスを認証 (Authentication) および認可 (Authorization) するためのコアなインタラクションプロセスです。中央集約型の OIDC ベース CIAM プラットフォームとして、Logto は複数のクライアントアプリケーションやプラットフォームにわたるユーザーのためのユニバーサルなサインイン体験を提供します。

ユーザーフロー

一般的な OIDC 認証 (Authentication) フローでは、ユーザーはクライアントアプリを開くことから始まります。クライアントアプリは 認可リクエスト (Authorization request) を Logto OIDC プロバイダーに送信します。ユーザーにアクティブなセッションがない場合、Logto はユーザーを Logto ホストのサインイン体験ページに誘導します。ユーザーは Logto 体験ページで必要な認証情報を入力し、認証 (Authentication) されます。認証 (Authentication) に成功すると、Logto は 認可コード (Authorization code) とともにユーザーをクライアントアプリにリダイレクトします。クライアントアプリはその認可コードを使って トークンリクエスト (Token request) を Logto OIDC プロバイダーに送り、トークンを取得します。

ユーザーインタラクション

クライアントアプリが認可リクエストを開始すると、各ユーザーインタラクションごとに インタラクションセッション が作成されます。このセッションは複数のクライアントアプリケーション間でユーザーインタラクションの状態を一元管理し、Logto が一貫したサインイン体験を提供できるようにします。ユーザーがクライアントアプリ間を移動しても、インタラクションセッションは一貫性を保ち、認証 (Authentication) 状態を維持し、プラットフォーム間での繰り返しサインインの必要性を減らします。インタラクションセッション が確立されると、ユーザーは Logto へのサインインを促されます。

Logto の 体験アプリ (Experience app) は、サインイン体験を提供する専用のホストアプリケーションです。ユーザーが認証 (Authentication) する必要がある場合、体験アプリ に誘導され、サインインを完了し Logto とやり取りします。体験アプリ はアクティブなインタラクションセッションを利用して、ユーザーのインタラクション進行状況を追跡・サポートします。

このユーザージャーニーをサポート・制御するために、Logto はセッションベースの Experience API を提供します。これらの API により、体験アプリ はインタラクションセッションの状態をリアルタイムで更新・取得しながら、幅広いユーザー識別・検証方法に対応できます。

ユーザーがすべての検証要件を満たすと、インタラクションセッションは OIDC プロバイダーへの結果送信で終了し、ユーザーは完全に認証 (Authentication) され、同意も提供され、安全なサインインプロセスが完了します。

注記:

体験ページは認証 (Authentication) フローを通じてのみアクセスできるよう設計されています。検索エンジンによるインデックス化や直接アクセスを防ぐため、Logto は体験 HTML ページに自動的に <meta name="robots" content="noindex, nofollow" /> を追加します。

サインイン体験のカスタマイズ

Logto は、さまざまなビジネス要件に対応する柔軟でカスタマイズ可能なユーザー体験を提供します。カスタムブランディング、ユーザーインターフェース、ユーザーインタラクションフローなどが含まれます。体験アプリ は、クライアントアプリケーションのブランディングやセキュリティ要件に合わせて調整できます。

Logto でのサインイン体験の セットアップカスタマイズ について、さらに学びましょう。

一般的なサインイン方法

プロダクト要件に応じて、同じ Logto ホストの体験内で複数のサインイン方法を組み合わせることができます:

よくある質問

アプリごとのサインイン体験方法やブランディング

アプリケーションや組織ごとに異なる サインイン UI が必要な場合、Logto は アプリ固有のブランディング組織固有のブランディング のカスタマイズをサポートしています。

ユーザータイプやサイトごとに異なる サインイン方法 を提供したい場合は、認証パラメーター(例:first_screendirect_sign_in)を利用して、ユーザーをカスタマイズされたサインインオプション付きのエンドユーザーページへ誘導できます。

メールドメイン / IP アドレス / 地域による制限

属性ベースのアクセス制御(例:メールドメイン、IP アドレス、地域によるサインイン制限)には、Logto の カスタムトークンクレーム 機能を利用し、ユーザー属性に基づいて認可リクエストを拒否または許可できます。

サインイン・サインアップ用のヘッドレス API

現在、Logto はサインイン・サインアップ用のヘッドレス API を提供していません。ただし、独自 UI の持ち込み を利用して、サインイン・サインアップ体験をカスタマイズできます。

Resource Owner Password Credentials (ROPC) グラントタイプを非推奨にすべき理由

なぜインプリシットフローではなく認可コードフローを使うべきか?

トークンベース認証 (Authentication) とセッションベース認証 (Authentication) の比較