メインコンテンツまでスキップ

OIDC / OAuth アプリケーションの権限管理

あなたのサービスが所有していないサードパーティアプリケーションは、ユーザーを認証 (Authentication) するために Logto とアイデンティティプロバイダーとして統合されています。これらのアプリは通常、外部のサービスプロバイダーから提供され、ユーザーデータを保護するために慎重な権限管理が必要です。

Logto は、サードパーティアプリケーションに付与される特定の権限を制御する力を提供します。これには、ユーザープロファイルAPI リソース、および 組織スコープ の管理が含まれます。ファーストパーティアプリとは異なり、サードパーティアプリが許可されていないスコープを要求すると、アクセスが拒否されます。

特定のスコープを有効にすることで、サードパーティアプリがアクセスできるユーザー情報を決定します。ユーザーは同意画面でこれらの権限を確認し、アクセスを許可する前に承認します。

OIDC サードパーティアプリケーションの権限を管理する

OIDC サードパーティアプリケーションの コンソール > アプリケーション > アプリケーション詳細ページ に移動し、権限 タブに移動して 権限を追加 ボタンをクリックし、サードパーティアプリケーションの権限を管理します。

基本的なユーザーデータは常にサードパーティアプリのリクエストに必要です。さらに、Logto は組織リソースの割り当てをサポートしており、B2B サービスに最適です。

ユーザーデータの権限を付与する

ユーザープロファイル権限(例:メール、名前、アバター)や API リソース権限(例:特定のリソースへの読み取りまたは書き込みアクセス)を含むユーザーレベルの権限を割り当てます。

要求されたリソースの名前(例:個人ユーザーデータ、API 名)や特定の権限の説明(例:あなたのメールアドレス)は、ユーザーが確認するために同意画面に表示されます。

承認 ボタンをクリックすることで、ユーザーは指定された権限をサードパーティアプリケーションに付与することに同意します。

ユーザーデータの権限を付与する

組織データの権限を付与する

組織権限API リソース権限を含む組織レベルの権限を割り当てます。Logto は API リソースを特定の組織ロールに割り当てることを可能にします。

同意画面では、組織データはユーザーデータとは別に表示されます。認可 (Authorization) フロー中に、ユーザーはアクセスを許可する特定の組織を選択する必要があります。ユーザーは確認する前に組織を切り替えることができます。サードパーティアプリケーションは、選択された組織のデータと関連する権限にのみアクセスを受け取ります。

組織データの権限を付与する

権限の種類

ユーザー権限(ユーザープロファイルスコープ)

これらの権限は OIDC 標準であり、Logto の基本的なユーザープロファイルスコープで、ユーザークレームにアクセスするために使用されます。ユーザークレームは、ID トークンと userinfo エンドポイントで返されます。

  • profile: OIDC 標準スコープで、ユーザー名とアバターにアクセスするために使用されます。
  • email: OIDC 標準スコープで、ユーザーメールにアクセスするために使用されます。
  • phone: OIDC 標準スコープで、ユーザーの電話番号にアクセスするために使用されます。
  • custom_data: Logto ユーザープロファイルスコープで、ユーザーカスタムデータ にアクセスするために使用されます。
  • identity: Logto ユーザープロファイルスコープで、ユーザーのリンクされた ソーシャルアイデンティティ 情報にアクセスするために使用されます。
  • role: Logto ユーザープロファイルスコープで、ユーザーの ロール 情報にアクセスするために使用されます。
  • urn:logto:scope:organizations: Logto ユーザー組織スコープで、ユーザーの組織情報にアクセスするために使用されます。有効化され、サードパーティアプリケーションによって要求された場合、同意画面に組織セレクターが表示されます。これにより、ユーザーはアクセスを許可したい組織を確認して選択できます。詳細は 組織 を参照してください。
  • urn:logto:scope:organization_roles: Logto ユーザー組織スコープで、ユーザーの組織ロール情報にアクセスするために使用されます。
警告:

認可 (Authorization) リクエストで有効化されていないユーザープロファイルスコープを要求すると、エラーが発生します。

API リソース権限(API リソーススコープ)

Logto は API リソースに対してロールベースのアクセス制御 (RBAC) を提供します。API リソースは、あなたのサービスが所有し、Logto によって保護されているリソースです。サードパーティアプリケーションに API リソースへのアクセスを許可するために、独自に定義した API スコープを割り当てることができます。詳細は RBAC、組織テンプレート、および API を保護する を参照してください。

コンソール > API リソース で API リソーススコープを作成および管理できます。

警告:

サードパーティアプリケーションに有効化されていない API リソーススコープは、認可 (Authorization) リクエストを送信する際に無視されます。ユーザー同意画面に表示されず、Logto によって付与されません。

組織権限(組織スコープ)

組織権限 は、Logto 組織専用に定義されたスコープです。組織情報とリソースにアクセスするために使用されます。

注記:

Logto 組織権限を使用するには、urn:logto:scope:organizations ユーザースコープを有効にする必要があります。そうでない場合、認可 (Authorization) リクエストを送信する際に組織権限は無視されます。

組織テンプレート設定ページで独自の組織スコープを定義できます。詳細は 組織テンプレートの設定 を参照してください。

警告:

サードパーティアプリケーションに有効化されていない組織スコープは、認可 (Authorization) リクエストを送信する際に無視されます。ユーザー同意画面に表示されず、Logto によって付与されません。