Auth0 では、ロールベースのアクセス制御 (RBAC) を実装する方法として 2 つの選択肢を提供しています。これらは、API 独自の内部アクセス制御システムの代替として、または併用して使用できます。Authorization Core の機能セットは Authorization Extension と同等の機能を備えており、パフォーマンスとスケーラビリティを向上させるとともに、Authorization Extension よりも柔軟な RBAC システムを提供します。現在、どちらも RBAC の主要機能を実装しており、API で定義したカスタムスコープを、ユーザーに権限として割り当てられているもののみに制限できます。
-
Auth0 Dashboard > Extensions に移動し、Auth0 Authorization を選択します。
-
Authorization Dashboard の右上にある Configuration を選択します。
-
Configuration ページの Rule Configuration セクションが表示されます。グループ、ロール、権限に関する設定など、Token Contents 配下の各セクションで加えた変更はすべて、この手順の最後にエクスポートするルールに反映されます。
このルールは、Authorization Extension API と通信してポリシーを取得するために ApiKey を使用します。ApiKey はルールの設定として保存され、ルールの公開時に自動的に作成されます。ApiKey をローテーションするには、Rotate ボタンをクリックします。ApiKey がローテーションされると、ルールの設定も自動的に更新されます。
Auth0 が発行するトークンには、グループ、ロール、権限などの認可データを格納できます。アプリケーションはその後、トークンを確認してこの情報を利用し、ユーザーの現在の認可コンテキストに応じた適切な処理を実行できます。
発行されるトークンにグループ、ロール、権限の情報を追加するには、含める項目の横にあるスライダーを有効にします。
トークンに格納するデータが多すぎると、パフォーマンスの問題が発生したり、トークンを発行できなくなったりする可能性があります。必要なものだけを格納してください。すぐに利用できる大量のユーザーデータが必要な場合は、データをトークンに追加する代わりに永続化の使用を検討してください。
app_metadata フィールドに保存され、ユーザーがログインした後で、 または Dashboard を使用してこの情報を取得できます。
ルールの設定が完了したら、Publish Rule をクリックします。これにより、ユーザーがログインするたびに実行されるルールがテナントに作成されます。
作成した ルール を確認するには、Auth0 Dashboard > Auth Pipeline > Rules に移動します。
ルール を開くと、設定内容を確認できます。
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム
