認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォームAPI の権限
API を設定する
Auth0 Dashboard で API を登録する前でも、すでに 1 つの API が存在します。それが Auth0 Management API です。Management API の機能と利用可能な endpoint の詳細については、Management APIを参照してください。
API
API の利用に関する主要なトピックを紹介します。
API は、外部リソースを表すエンティティであり、アプリケーションから送信される保護されたリソースへのリクエストを受け付けて応答できます。OAuth2 specification では、API は に相当します。
カスタム API では、いずれユーザーに代わって保護されたリソースへの限定的なアクセスを許可する必要が生じます。認可とは、ユーザーが何にアクセスできるかを検証するプロセスを指します。authentication と同じ意味で使われることもありますが、認可は本質的に異なる機能です。詳しくは、Authentication and Authorization を参照してください。
認可では、API が付与すべき権限の範囲を判断したうえで、ユーザーまたはアプリケーションに API へのアクセスを付与します。通常、認可は認証によって ID が正常に検証された後に行われるため、API はどのようなアクセスを付与すべきかをある程度判断できます。
認可は、ポリシー と rules を使用して決定できます。これらは ロールベースアクセス制御 (RBAC) と組み合わせて使用できます。RBAC を使用するかどうかにかかわらず、要求されたアクセスはスコープを介して API に送信され、付与されたアクセスは発行された として返されます。
その後、アプリケーションはアクセストークンを使用して API の保護されたリソースにアクセスできます。同じアクセストークンは、有効期限が切れるまで再度認証することなく API のリソースへのアクセスに使用できます。
API 自体だけが、実行可能なすべてのアクションを把握できるため、API には独自の権限を定義する内部アクセス制御システムが必要です。呼び出し元アプリケーションの実効権限を判定するには、API は受信したスコープと、自身の内部アクセス制御システム内で割り当てられた権限を組み合わせ、それに基づいてアクセス制御を決定する必要があります。
API を保護するには、 を使用して API を登録する必要があります。詳しくは、API を登録するを参照してください。