メインコンテンツまでスキップ

権限管理

あなたのサービスが所有していないサードパーティアプリケーションは、ユーザーを認証 (Authentication) するために Logto とアイデンティティプロバイダーとして統合されています。これらのアプリは通常、外部のサービスプロバイダーから提供され、ユーザーデータを保護するために慎重な権限管理が必要です。

Logto は、サードパーティアプリケーションに付与される特定の権限を制御する力を提供します。これには、ユーザープロファイルAPI リソース、および 組織スコープ の管理が含まれます。ファーストパーティアプリとは異なり、許可されていないスコープを要求するサードパーティアプリはアクセスを拒否されます。

特定のスコープを有効にすることで、サードパーティアプリがアクセスできるユーザー情報を決定します。ユーザーはアクセスを許可する前に、同意画面でこれらの権限を確認し承認します。

OIDC サードパーティアプリケーションの権限を管理する

OIDC サードパーティアプリケーションの コンソール > アプリケーション > アプリケーション詳細ページ に移動し、権限 タブに移動して 権限を追加 ボタンをクリックして、サードパーティアプリケーションの権限を管理します。

基本的なユーザーデータは常にサードパーティアプリの要求に必要です。さらに、Logto は組織リソースの割り当てをサポートしており、B2B サービスに最適です。

ユーザーデータの権限を付与する

ユーザープロファイル権限(例:メール、名前、アバター)や API リソース権限(例:特定のリソースへの読み取りまたは書き込みアクセス)を含むユーザーレベルの権限を割り当てます。

要求されたリソースの名前(例:個人ユーザーデータ、API 名)および特定の権限の説明(例:あなたのメールアドレス)は、ユーザーが確認するための同意画面に表示されます。

承認 ボタンをクリックすることで、ユーザーは指定された権限をサードパーティアプリケーションに付与することに同意します。

grant permissions of user data

組織データの権限を付与する

組織権限API リソース権限を含む組織レベルの権限を割り当てます。Logto は API リソースを特定の組織ロールに割り当てることができます。

同意画面では、組織データはユーザーデータとは別に表示されます。認可 (Authorization) フロー中に、ユーザーはアクセスを許可する特定の組織を選択する必要があります。ユーザーは確認する前に組織を切り替えることができます。サードパーティアプリケーションは、選択された組織のデータと関連する権限にのみアクセスを受け取ります。

grant permissions of organization data

権限の種類

ユーザー権限 (ユーザープロファイルスコープ)

これらの権限は OIDC 標準であり、Logto の基本的なユーザープロファイルスコープで、ユーザークレームにアクセスするために使用されます。ユーザークレームは、ID トークンおよび userinfo エンドポイントで返されます。

  • profile: OIDC 標準スコープで、ユーザー名とアバターにアクセスするために使用されます。
  • email: OIDC 標準スコープで、ユーザーメールにアクセスするために使用されます。
  • phone: OIDC 標準スコープで、ユーザーの電話番号にアクセスするために使用されます。
  • custom_data: Logto ユーザープロファイルスコープで、ユーザーのカスタムデータ にアクセスするために使用されます。
  • identity: Logto ユーザープロファイルスコープで、ユーザーのリンクされた ソーシャルアイデンティティ 情報にアクセスするために使用されます。
  • role: Logto ユーザープロファイルスコープで、ユーザーの ロール 情報にアクセスするために使用されます。
  • urn:logto:scope:organizations: Logto ユーザー組織スコープで、ユーザーの組織情報にアクセスするために使用されます。有効化され、サードパーティアプリケーションによって要求された場合、同意画面に組織セレクターが表示されます。これにより、ユーザーはアクセスを許可する組織を確認し選択できます。詳細は 組織 を参照してください。
  • urn:logto:scope:organization_roles: Logto ユーザー組織スコープで、ユーザーの組織ロール情報にアクセスするために使用されます。
警告:

認可 (Authorization) リクエストで有効化されていないユーザープロファイルスコープを要求すると、エラーが発生します。

API リソース権限 (API リソーススコープ)

Logto は API リソースに対してロールベースのアクセス制御 (RBAC) を提供します。API リソースはあなたのサービスが所有し、Logto によって保護されているリソースです。サードパーティアプリケーションにあなたの API リソースへのアクセスを許可するために、独自に定義した API スコープを割り当てることができます。詳細は RBAC、組織テンプレート、および API を保護する を参照してください。

コンソール > API リソース で API リソーススコープを作成および管理できます。

警告:

サードパーティアプリケーションに有効化されていない API リソーススコープは、認可 (Authorization) リクエストを送信する際に無視されます。ユーザー同意画面に表示されず、Logto によって付与されません。

組織権限 (組織スコープ)

組織権限 は、Logto 組織専用に定義されたスコープです。組織情報とリソースにアクセスするために使用されます。

注記:

Logto 組織権限を使用するには、urn:logto:scope:organizations ユーザースコープを有効にする必要があります。そうでない場合、組織権限は認可 (Authorization) リクエストを送信する際に無視されます。

組織テンプレート設定ページで独自の組織スコープを定義できます。詳細は 組織テンプレートの設定 を参照してください。

警告:

サードパーティアプリケーションに有効化されていない組織スコープは、認可 (Authorization) リクエストを送信する際に無視されます。ユーザー同意画面に表示されず、Logto によって付与されません。