본문으로 건너뛰기

OIDC / OAuth 애플리케이션의 권한 관리

귀하의 서비스가 소유하지 않은 서드파티 애플리케이션은 Logto에 아이덴티티 제공자 (IdP)로 통합되어 사용자를 인증 (Authentication)합니다. 이러한 앱은 일반적으로 외부 서비스 제공업체에서 제공되며, 사용자 데이터를 보호하기 위해 신중한 권한 관리가 필요합니다.

Logto는 서드파티 애플리케이션에 부여되는 특정 권한을 제어할 수 있도록 지원합니다. 여기에는 사용자 프로필, API 리소스, 조직 스코프 관리가 포함됩니다. 퍼스트파티 앱과 달리, 서드파티 앱이 인가되지 않은 스코프를 요청하면 접근이 거부됩니다.

특정 스코프를 활성화함으로써, 서드파티 앱이 접근할 수 있는 사용자 정보를 결정할 수 있습니다. 사용자는 동의 화면에서 이러한 권한을 검토하고 승인한 후 접근을 허용합니다.

OIDC 서드파티 애플리케이션의 권한 관리

OIDC 서드파티 애플리케이션의 콘솔 > 애플리케이션 > 애플리케이션 상세 페이지로 이동하여 권한 탭에서 권한 추가 버튼을 클릭해 서드파티 애플리케이션의 권한을 관리하세요.

기본 사용자 데이터는 서드파티 앱 요청에 항상 필요합니다. 추가로, Logto는 조직 리소스 할당을 지원하여 B2B 서비스에 이상적입니다.

사용자 데이터 권한 부여

사용자 프로필 권한 (예: 이메일, 이름, 아바타) 및 API 리소스 권한 (예: 특정 리소스에 대한 읽기 또는 쓰기 접근) 등 사용자 레벨 권한을 할당하세요.

요청된 리소스의 이름(예: 개인 사용자 데이터, API 이름)과 구체적인 권한 설명(예: 귀하의 이메일 주소)은 동의 화면에 표시되어 사용자가 검토할 수 있습니다.

허용 버튼을 클릭하면, 사용자는 지정된 권한을 서드파티 애플리케이션에 부여하는 데 동의하게 됩니다.

grant permissions of user data

조직 데이터 권한 부여

조직 권한API 리소스 권한 등 조직 레벨 권한을 할당하세요. Logto는 API 리소스를 특정 조직 역할에 할당할 수 있도록 지원합니다.

동의 화면에서는 조직 데이터가 사용자 데이터와 별도로 표시됩니다. 인가 (Authorization) 플로우 중, 사용자는 접근을 허용할 특정 조직을 선택해야 합니다. 사용자는 확인 전에 조직을 전환할 수 있습니다. 서드파티 애플리케이션은 선택된 조직의 데이터와 관련 권한에만 접근할 수 있습니다.

grant permissions of organization data

권한 유형

사용자 권한 (User profile 스코프)

이 권한들은 OIDC 표준 및 Logto의 필수 사용자 프로필 스코프로, 사용자 클레임 (Claim)에 접근하는 데 사용됩니다. 사용자 클레임 (Claim)은 ID 토큰 및 userinfo 엔드포인트에서 반환됩니다.

  • profile: OIDC 표준 스코프, 사용자 이름 및 아바타 접근에 사용.
  • email: OIDC 표준 스코프, 사용자 이메일 접근에 사용.
  • phone: OIDC 표준 스코프, 사용자 전화번호 접근에 사용.
  • custom_data: Logto 사용자 프로필 스코프, 사용자 커스텀 데이터 접근에 사용.
  • identity: Logto 사용자 프로필 스코프, 사용자 연동 소셜 아이덴티티 정보 접근에 사용.
  • role: Logto 사용자 프로필 스코프, 사용자 역할 정보 접근에 사용.
  • urn:logto:scope:organizations: Logto 사용자 조직 스코프, 사용자 조직 정보 접근에 사용. 활성화되어 서드파티 애플리케이션이 요청할 경우, 동의 화면에 조직 선택기가 표시됩니다. 사용자는 접근을 허용할 조직을 검토 및 선택할 수 있습니다. 자세한 내용은 조직을 참고하세요.
  • urn:logto:scope:organization_roles: Logto 사용자 조직 스코프, 사용자 조직 역할 정보 접근에 사용.
경고:

인가 (Authorization) 요청에서 활성화되지 않은 사용자 프로필 스코프를 요청하면 오류가 발생합니다.

API 리소스 권한 (API resource 스코프)

Logto는 API 리소스에 대해 역할 기반 접근 제어 (RBAC)를 제공합니다. API 리소스는 귀하의 서비스가 소유하며 Logto가 보호하는 리소스입니다. 직접 정의한 API 스코프를 서드파티 애플리케이션에 할당하여 API 리소스에 접근할 수 있습니다. 자세한 내용은 RBAC, 조직 템플릿, API 보호하기를 참고하세요.

API 리소스 스코프는 콘솔 > API 리소스에서 생성 및 관리할 수 있습니다.

경고:

서드파티 애플리케이션에 활성화되지 않은 API 리소스 스코프는 인가 (Authorization) 요청 시 무시됩니다. 사용자 동의 화면에 표시되지 않으며 Logto에서 부여되지 않습니다.

조직 권한 (Organization 스코프)

조직 권한은 Logto 조직을 위해 독점적으로 정의된 스코프입니다. 조직 정보 및 리소스 접근에 사용됩니다.

노트:

Logto 조직 권한을 사용하려면 urn:logto:scope:organizations 사용자 스코프를 활성화해야 합니다. 그렇지 않으면 인가 (Authorization) 요청 시 조직 권한이 무시됩니다.

조직 템플릿 설정 페이지에서 직접 조직 스코프를 정의할 수 있습니다. 자세한 내용은 조직 템플릿 구성을 참고하세요.

경고:

서드파티 애플리케이션에 활성화되지 않은 조직 스코프는 인가 (Authorization) 요청 시 무시됩니다. 사용자 동의 화면에 표시되지 않으며 Logto에서 부여되지 않습니다.