サードパーティアプリ (OAuth / OIDC)

Logto のサードパーティアプリケーション統合により、Logto を外部アプリケーションの アイデンティティプロバイダー (IdP) として活用できます。

アイデンティティプロバイダー (IdP) とは、ユーザーのアイデンティティを検証し、ログイン認証情報を管理するサービスです。ユーザーのアイデンティティを確認した後、IdP は認証トークンやアサーションを生成し、ユーザーが再度ログインすることなくさまざまなアプリケーションやサービスへアクセスできるようにします。

アプリケーションへの Logto 統合 ガイドで作成した、開発・完全管理しているアプリケーションとは異なり、サードパーティアプリケーションは外部の開発者やビジネスパートナーによって開発された独立したサービスです。

この統合アプローチは、一般的なビジネスシナリオに最適です。Logto アカウントを使ってパートナーアプリケーションへアクセスできるようにしたり、エンタープライズユーザーが Google Workspace で Slack にサインインするような体験を提供できます。また、サードパーティアプリケーションが「Logto でサインイン」機能を追加できるオープンプラットフォームを構築することも可能です（「Google でサインイン」と同様）。

Logto は OpenID Connect (OIDC) プロトコルに基づいたアイデンティティサービスであり、認証 (Authentication) と 認可 (Authorization) の両方の機能を提供します。これにより、OIDC サードパーティアプリの統合は従来の Web アプリケーションと同じくらい簡単です。

また、OIDC は OAuth 2.0 の上に認証レイヤーを追加したプロトコルであるため、OAuth プロトコルを使ったサードパーティアプリの統合も可能です。

Logto でサードパーティアプリケーションを作成する

1. コンソール > アプリケーション にアクセスします。
2. アプリケーションタイプとして「サードパーティアプリ」を選択し、次のいずれかの統合プロトコルを選びます：
   • OIDC / OAuth
3. アプリケーションの名前と説明を入力し、「作成」ボタンをクリックします。新しいサードパーティアプリケーションが作成されます。

作成したすべてのサードパーティアプリケーションは、「サードパーティアプリ」タブのアプリケーションページに一覧表示されます。この構成により、自身のアプリケーションと区別しやすくなり、すべてのアプリケーションを一元管理できます。

OIDC 設定を行う

注記:

OIDC 設定を行う前に、OIDC サードパーティアプリケーションを作成 していることを確認してください。

1. OIDC サードパーティアプリケーションの リダイレクト URI を入力します。これは、Logto で認証 (Authentication) された後にサードパーティアプリケーションがユーザーをリダイレクトする URL です。 この情報は通常、サードパーティアプリケーションの IdP 接続設定ページで確認できます。

2. Logto アプリケーション詳細ページから クライアント ID と クライアントシークレット を取得し、サービスプロバイダーの IdP 接続設定ページに入力します。

3. Logto アプリケーション詳細ページから 認可エンドポイント と トークンエンドポイント を取得し、サービスプロバイダーに提供します。 サービスプロバイダーが OIDC ディスカバリーに対応している場合は、Logto アプリケーション詳細ページから ディスカバリーエンドポイント をコピーしてサービスプロバイダーに提供するだけで、すべての最新 OIDC 認証 (Authentication) 情報を自動的に取得できます。 そうでない場合は、エンドポイント詳細を表示 ボタンをクリックして、すべての OIDC 認証 (Authentication) エンドポイントを確認してください。

OIDC サードパーティアプリケーションの同意画面 (Consent screen)

セキュリティ上の理由から、すべての OIDC サードパーティアプリケーションは Logto で認証 (Authentication) された後、ユーザー認可 (Authorization) のために 同意画面 にリダイレクトされます。

サードパーティが要求した ユーザープロファイル権限、API リソーススコープ、組織権限、および組織メンバーシップ情報が同意画面に表示されます。

これらの要求された権限は、ユーザーが「認可 (Authorization)」ボタンをクリックした後にのみサードパーティアプリケーションへ付与されます。

次のステップ

権限管理

OIDC サードパーティアプリケーションの権限管理方法について学べます。

同意画面のブランディング

同意画面の外観をブランドイメージに合わせてカスタマイズし、一貫したユーザー体験を提供できます。

関連リソース

ユースケース：Apache Answer を統合してユーザー向けコミュニティを立ち上げる

Logto をサードパーティアイデンティティプロバイダー (IdP) として利用する