OIDC / OAuth でサードパーティアプリを統合する
Logto をアイデンティティプロバイダー (IdP) として利用し、OpenID Connect (OIDC) または OAuth 2.0 プロトコル経由でサードパーティアプリと統合できます。
Logto でサードパーティ OIDC アプリケーションを作成する
Logto でファーストパーティアプリケーションを作成するのと同様に、OIDC をサポートするサードパーティサービス向けのアプリケーションも作成できます。このアプリケーションは、サードパーティアプリケーションのための IdP として機能します。
-
コンソール > アプリケーション にアクセスします。
-
アプリケーションタイプとして「サードパーティアプリ > OIDC」を選択します。
-
初めてアプリケーションを作成する場合は、すべて表示 リンクをクリックしてすべてのアプリケーションタイプを確認してください。
-
それ以外の場合は、ページ右上の アプリケーションを作成 ボタンをクリックし、「サードパーティアプリ -> OIDC」をアプリケーションタイプとして選択します。
-
-
Logto ファーストパーティアプリケーションを作成する場合と同様に、アプリケーションの 名前 と 説明 を入力し、作成 ボタンをクリックします。新しいサードパーティ OIDC アプリケーションが作成されます。
OIDC 設定を行う
Logto をサードパーティアプリケーションの IdP として設定するには、アプリケーション詳細ページで OIDC 設定を行う必要があります。
-
サードパーティアプリケーションの リダイレクト URI を入力します。これは、Logto によって認証 (Authentication) された後にサードパーティアプリケーションがユーザーをリダイレクトする URL です。通常、この情報はサードパーティアプリケーションの IdP 接続設定ページで確認できます。Logto は複数のリダイレクト URI をサポートしています。別の URI を追加 ボタンをクリックしてリダイレクト URI を追加できます。
-
Logto アプリケーション詳細ページから クライアント ID と クライアントシークレット を取得し、サービスプロバイダーの IdP 接続設定ページに入力します。
-
Logto アプリケーション詳細ページから 認可エンドポイント と トークンエンドポイント を取得し、サービスプロバイダーに提供します。
- サービスプロバイダーが OIDC ディスカバリーをサポートしている場合は、Logto アプリケーション詳細ページから ディスカバリーエンドポイント をコピーしてサービスプロバイダーに提供するだけで構いません。サービスプロバイダーはディスカバリーエンドポイントから最新の OIDC 認証 (Authentication) 情報を自動的に取得できます。
- それ以外の場合は、エンドポイントの詳細を表示 ボタンをクリックして、すべての OIDC 認証 (Authentication) エンドポイントを確認してください。
内部的には、サードパーティアプリは標準的な OAuth 2.0 / OIDC クライアントにすぎません。つまり、任意の OAuth 2.0 / OIDC ライブラリやフレームワークを使って Logto と統合できます(開発者自身またはサードパーティ開発者が実装可能です)。
OAuth 2.0 や OIDC に慣れていない場合は、「従来型 Web」クイックスタートガイドのいずれかから始めることをおすすめします。
注意すべき点は以下の通りです:
- Logto では現在、サードパーティアプリは「従来型 Web」アプリである必要があります。つまり、クライアントシークレットを安全に保存するためにバックエンドサーバー(またはバックエンド・フォー・フロントエンド)が必要です。
- 多くのクイックスタートガイドはファーストパーティアプリ向けに書かれていますが、サードパーティアプリ統合の参考としても利用できます。
- 主な違いは、サードパーティアプリでは同意画面が表示され、ユーザーにデータへのアクセス許可を明示的に求める点です。
詳細は クイックスタートガイド で確認できます。
サードパーティアプリケーションの管理
すべてのサードパーティアプリケーションは アプリケーション ページの サードパーティアプリ タブに一覧表示されます。この配置により、ファーストパーティアプリケーションと区別して簡単に管理できます。