ユーザー管理
Logto Console で管理する
ユーザーの閲覧と検索
Logto Console でユーザー管理機能にアクセスするには、 Console > ユーザー管理 に移動します。そこでは、すべてのユーザーがテーブル形式で表示されます。
テーブルは次の 3 列で構成されています:
- ユーザー:ユーザーのアバター、氏名、ユーザー名、電話番号、メールアドレスなどの情報を表示します
- アプリケーションから:ユーザーが最初に登録したアプリケーション名を表示します
- 最新のサインイン:ユーザーの直近のサインイン時刻を表示します。
name
、id
、username
、primary-phone
、primary-email
でキーワード検索が可能です。
ユーザーの追加
Console を使って、開発者はエンドユーザーの新しいアカウントを作成できます。画面右上の「ユーザー追加」ボタンをクリックしてください。
Logto Console または Management API でユーザーを作成する場合(エンドユーザーが UI から自己登録する場合を除く)、少なくとも 1 つの識別子(primary email
、primary phone
、username
)を入力する必要があります。name
フィールドは任意です。
ユーザー作成後、Logto は自動的にランダムなパスワードを生成します。初期パスワードは一度だけ表示されますが、後から パスワードをリセット できます。特定のパスワードを設定したい場合は、Management API の patch /api/users/{userId}/password
を使ってユーザー作成後に更新してください。
入力した識別子(メールアドレス / 電話番号 / ユーザー名) と 初期パスワード はワンクリックでコピーできるため、新しいユーザーにこれらの認証情報を簡単に共有し、すぐにサインインして利用開始できます。
招待制登録を実装したい場合は、マジックリンクでユーザーを招待 する方法を推奨します。これにより、ホワイトリストに登録されたユーザーのみが自己登録し、自分でパスワードを設定できます。
ユーザープロファイルの閲覧と更新
ユーザーの詳細を確認するには、ユーザーテーブルの該当行をクリックしてください。「ユーザー詳細」ページに移動し、ユーザープロファイル情報を確認できます。内容は以下の通りです:
- 認証 (Authentication) 関連データ:
- メールアドレス (primary_email):編集可能
- 電話番号 (primary_phone):編集可能
- ユーザー名 (username):編集可能
- パスワード (has_password):ランダムパスワードを再生成可能。「ユーザーパスワードのリセット」を参照。
- ソーシャル連携 (identities):連携済みソーシャルアカウントやソーシャル ID を表示。たとえば、Facebook アカウントでサインインした場合、「Facebook」項目がリストに表示されます。Console で連携済みソーシャル ID を削除できますが、新たな連携はエンドユーザーの代理ではできません。
- エンタープライズシングルサインオン (SSO) 連携 (sso_identities):連携済みエンタープライズ ID を表示。Console で SSO ID の追加・削除はできません。
- 多要素認証 (MFA) (mfa_verification_factor):このユーザーが設定したすべての認証要素(パスキー、認証アプリ、バックアップコードなど)を表示。Console で要素の削除が可能です。
- パーソナルアクセストークン: パーソナルアクセストークン の作成、表示、名前変更、削除が可能です。
- ユーザープロファイルデータ:名前、アバター URL、カスタムデータ、その他 OpenID Connect 標準クレーム(未含分)。これらのプロファイル項目はすべて編集可能です。
ソーシャル連携を削除する前に、ユーザーが他のサインイン方法(別のソーシャル連携、電話番号、メールアドレス、ユーザー名+パスワードなど)を持っていることを必ず確認してください。もし他のサインイン方法がない場合、ソーシャル連携を削除するとアカウントに再度アクセスできなくなります。
ユーザーアクティビティの閲覧
ユーザーの最近のアクティビティを確認するには、「ユーザー詳細」ページの「ユーザーログ」サブタブに移動します。ここでは、ユーザーが行った操作、結果、関連アプリケーション、操作時刻などがテーブルで表示されます。
テーブル行をクリックすると、ユーザーログの詳細(IP アドレス、ユーザーエージェント、生データなど)を確認できます。
ユーザーの一時停止
「ユーザー詳細」ページで「三点リーダー」→「ユーザーを一時停止」ボタンをクリックします。
ユーザーが一時停止されると、そのユーザーはアプリにサインインできなくなり、現在のアクセストークンの有効期限が切れた後は新しいアクセストークンも取得できません。また、このユーザーによる API リクエストもすべて失敗します。
再度有効化したい場合は、「三点リーダー」→「ユーザーを再有効化」ボタンをクリックしてください。
ユーザーの削除
「ユーザー詳細」ページで「三点リーダー」→「削除」ボタンをクリックします。ユーザー削除は元に戻せません。
ユーザーパスワードのリセット
「ユーザー詳細」ページで「三点リーダー」→「パスワードをリセット」ボタンをクリックすると、Logto が自動的にランダムなパスワードを再生成します。
パスワードをリセットした後は、それをコピーしてエンドユーザーに送信してください。「パスワードをリセット」モーダルを閉じるとパスワードは再表示されません。控え忘れた場合は再度リセットできます。
Logto Console で特定のパスワードを設定することはできませんが、Management API の PATCH /api/users/{userId}/password
を使って指定できます。
ユーザーのロール管理
ユーザー詳細ページの「ロール」タブで、ロールの割り当てや削除が簡単に行えます。詳細は ロールベースのアクセス制御 (RBAC) を参照してください。
ユーザーが所属する組織の確認
Logto は 組織 をサポートしており、そのメンバー管理が可能です。ユーザー詳細から、どの組織に所属しているかを簡単に確認できます。
Logto Management API で管理する
Management API は、Logto バックエンドサービスへのアクセスを提供する API 群です。前述の通り、ユーザー API はこのサービスの重要な構成要素であり、さまざまなシナリオに対応できます。
ユーザー関連の RESTful API は /api/users
にマウントされています(ユーザーアクティビティ、すなわちユーザーログ /api/logs?userId=:userId
を除く)。
Management API を使って、高度なユーザー検索、一括アカウント作成、招待制サインアップ など、さまざまな用途でユーザー管理が可能です。
よくある質問
特定のユーザーに対して特定のアプリケーションへのアクセスを制限するには?
Logto の Omni-sign-in の特性上、認証 (Authentication) 前に特定のアプリケーションへのユーザーアクセスを制限する設計にはなっていません。 ただし、アプリケーション固有のユーザーロールや権限を設計し、API リソースを保護することは可能です。ユーザーがサインインした後、API アクセス時に権限を検証してください。 詳細は認可 (Authorization): ロールベースのアクセス制御 (RBAC) を参照してください。