OIDC / OAuth 애플리케이션의 권한 관리

서비스에 소유되지 않은 타사 애플리케이션은 Logto와 아이덴티티 제공자로 통합되어 사용자를 인증 (Authentication)합니다. 이러한 앱은 일반적으로 외부 서비스 제공자로부터 제공되며, 사용자 데이터를 보호하기 위해 신중한 권한 관리가 필요합니다.

Logto는 타사 애플리케이션에 부여된 특정 권한을 제어할 수 있는 기능을 제공합니다. 여기에는 사용자 프로필, API 리소스, 및 조직 스코프 관리가 포함됩니다. 1차 앱과 달리, 인가되지 않은 스코프를 요청하는 타사 앱은 접근이 거부됩니다.

특정 스코프를 활성화함으로써, 타사 앱이 접근할 수 있는 사용자 정보를 결정합니다. 사용자는 동의 화면에서 이러한 권한을 검토하고 승인한 후 접근을 허용합니다.

OIDC 타사 애플리케이션의 권한 관리

OIDC 타사 애플리케이션의 콘솔 > 애플리케이션 > 애플리케이션 세부 정보 페이지로 이동하여 권한 탭으로 이동한 후 권한 추가 버튼을 클릭하여 타사 애플리케이션의 권한을 관리하세요.

기본 사용자 데이터는 항상 타사 앱 요청에 필요합니다. 추가로, Logto는 조직 리소스 할당을 지원하여 B2B 서비스에 이상적입니다.

사용자 데이터의 권한 부여

사용자 프로필 권한 (예: 이메일, 이름, 아바타) 및 API 리소스 권한 (예: 특정 리소스에 대한 읽기 또는 쓰기 접근) 등 사용자 수준의 권한을 할당합니다.

요청된 리소스의 이름 (예: 개인 사용자 데이터, API 이름) 및 특정 권한 설명 (예: 귀하의 이메일 주소)은 사용자가 검토할 수 있도록 동의 화면에 표시됩니다.

인가 버튼을 클릭함으로써, 사용자는 지정된 권한을 타사 애플리케이션에 부여하는 것에 동의합니다.

조직 데이터의 권한 부여

조직 권한 및 API 리소스 권한 등 조직 수준의 권한을 할당합니다. Logto는 API 리소스를 특정 조직 역할에 할당할 수 있도록 합니다.

동의 화면에서 조직 데이터는 사용자 데이터와 별도로 표시됩니다. 인가 흐름 동안, 사용자는 접근을 허용할 특정 조직을 선택해야 합니다. 사용자는 확인하기 전에 조직 간 전환할 수 있습니다. 타사 애플리케이션은 선택된 조직의 데이터와 관련된 권한만 접근할 수 있습니다.

권한 유형

사용자 권한 (사용자 프로필 스코프)

이러한 권한은 OIDC 표준 및 Logto의 필수 사용자 프로필 스코프로, 사용자 클레임에 접근하는 데 사용됩니다. 사용자 클레임은 ID 토큰 및 userinfo 엔드포인트에서 반환됩니다.

profile: OIDC 표준 스코프, 사용자 이름 및 아바타에 접근하는 데 사용됩니다.
email: OIDC 표준 스코프, 사용자 이메일에 접근하는 데 사용됩니다.
phone: OIDC 표준 스코프, 사용자 전화번호에 접근하는 데 사용됩니다.
custom_data: Logto 사용자 프로필 스코프, 사용자 맞춤 데이터에 접근하는 데 사용됩니다.
identity: Logto 사용자 프로필 스코프, 사용자 연결된 소셜 아이덴티티 정보에 접근하는 데 사용됩니다.
role: Logto 사용자 프로필 스코프, 사용자 역할 정보에 접근하는 데 사용됩니다.
urn:logto:scope:organizations: Logto 사용자 조직 스코프, 사용자 조직 정보에 접근하는 데 사용됩니다. 활성화되고 타사 애플리케이션에 의해 요청된 경우, 동의 화면에 조직 선택기가 표시됩니다. 이를 통해 사용자는 접근을 허용할 조직을 검토하고 선택할 수 있습니다. 자세한 내용은 조직을 참조하세요.
urn:logto:scope:organization_roles: Logto 사용자 조직 스코프, 사용자 조직 역할 정보에 접근하는 데 사용됩니다.

경고:

인가 요청에서 활성화되지 않은 사용자 프로필 스코프를 요청하면 오류가 발생합니다.

API 리소스 권한 (API 리소스 스코프)

Logto는 API 리소스에 대한 역할 기반 접근 제어 (RBAC)를 제공합니다. API 리소스는 서비스가 소유하고 Logto에 의해 보호되는 리소스입니다. 타사 애플리케이션에 API 리소스에 접근할 수 있도록 자체 정의한 API 스코프를 할당할 수 있습니다. 자세한 내용은 RBAC, 조직 템플릿 및 API 보호를 참조하세요.

콘솔 > API 리소스에서 API 리소스 스코프를 생성하고 관리할 수 있습니다.

경고:

타사 애플리케이션에 활성화되지 않은 API 리소스 스코프는 인가 요청 시 무시됩니다. 사용자 동의 화면에 표시되지 않으며 Logto에 의해 부여되지 않습니다.

조직 권한 (조직 스코프)

조직 권한은 Logto 조직에 독점적으로 정의된 스코프입니다. 조직 정보 및 리소스에 접근하는 데 사용됩니다.

노트:

Logto 조직 권한을 사용하려면 urn:logto:scope:organizations 사용자 스코프를 활성화해야 합니다. 그렇지 않으면 인가 요청 시 조직 권한이 무시됩니다.

조직 템플릿 설정 페이지에서 자체 조직 스코프를 정의할 수 있습니다. 자세한 내용은 조직 템플릿 구성을 참조하세요.

경고:

타사 애플리케이션에 활성화되지 않은 조직 스코프는 인가 요청 시 무시됩니다. 사용자 동의 화면에 표시되지 않으며 Logto에 의해 부여되지 않습니다.

OIDC 타사 애플리케이션의 권한 관리​

사용자 데이터의 권한 부여​

조직 데이터의 권한 부여​

권한 유형​

사용자 권한 (사용자 프로필 스코프)​

API 리소스 권한 (API 리소스 스코프)​

조직 권한 (조직 스코프)​