メインコンテンツへスキップ
ロールベースアクセス制御 (RBAC) は、 または を使用して有効にできます。これにより、API Authorization Core 機能セットが有効になります。 RBAC を有効にすると、scope クレームには、要求された権限とユーザーに割り当てられている権限の共通部分が含まれます。これは、権限がアクセストークンにも含まれているかどうかに関係なく適用されます。RBAC を無効にすると、アプリケーションは API に定義されている任意の権限を要求でき、scope クレームには要求されたすべての権限が含まれます。
アクセストークンのスコープを変更する Actions を設定すると、RBAC によって設定されたスコープよりもそちらが優先されます。

Dashboard

  1. Dashboard > Applications > APIs に移動し、確認する API の名前をクリックします。
    Dashboard Applications APIs List
  2. RBAC Settings までスクロールし、Enable RBAC トグルを有効にします。
    Auth0 Dashboard API Settings RBAC toggle
  3. ユーザーに割り当てられたすべての権限をアクセストークンの permissions クレームに含めるには、Add Permissions in the Access Token トグルを有効にして、Save をクリックします。アクセストークンに権限を含めると、権限を取得するための呼び出しを最小限に抑えられますが、トークンサイズは大きくなります。 Add Permissions in the Access Token トグルを有効にすると、Auth0 は API に設定されている access token profile に基づいて、トークンダイアレクトも更新します。
    • トークンダイアレクトが access_token の場合、Auth0 は access_token_authz に更新します。これは、permissions クレームを含む access_token プロファイルと同等です。
    • トークンダイアレクトが rfc9068_profile の場合、Auth0 は rfc9068_profile_authz に更新します。これは、permissions クレームを含む rfc9068_profile と同等です。
    使用可能なトークンダイアレクトの詳細については、Token dialect options を参照してください。

Management API

Management API を使用して RBAC を有効にするには、リソースサーバーを更新するエンドポイント に対して PATCH リクエストを送信します。PATCH リクエストでは、enforce_policiestrue に設定します。 API_IDMGMT_API_ACCESS_TOKENTOKEN_DIALECT を、以下の表に示す対応する値に置き換えます。
パラメーター説明
API_IDRBAC を有効にする API の ID。
MGMT_API_ACCESS_TOKENスコープ update:resource_servers を持つ Management API のアクセストークン
TOKEN_DIALECT指定した API のアクセストークンのダイアレクト。詳しくは、トークンダイアレクトのオプション を参照してください。

トークンダイアレクトのオプション

Auth0 は以下のトークンダイアレクトをサポートしています。
ValueDescription
access_tokenAuth0 のデフォルトのトークンプロファイルは、JSON Web Token (JWT) 形式のアクセストークンを生成します。アクセストークンの scope クレームには、要求された権限とユーザーに割り当てられた権限の共通部分が含まれます。permissions クレームは含まれません。詳細については、Access Token Profiles を参照してください。
access_token_authzpermissions クレームを含む Auth0 のデフォルトのトークンプロファイル (access_token) です。アクセストークンの scope クレームには、要求された権限とユーザーに割り当てられた権限の共通部分が含まれます。アクセストークンの permissions クレームには、ユーザーに割り当てられたすべての権限が含まれます。権限の取得に必要な呼び出しを最小限に抑えられますが、トークンサイズは大きくなります。
rfc9068_profileRFC 9068 トークンプロファイルは、IETF JWT Profile for OAuth 2.0 Access Tokens (RFC 9068) に準拠した JWT 形式のアクセストークンを生成します。アクセストークンの scope クレームには、要求された権限とユーザーに割り当てられた権限の共通部分が含まれます。permissions クレームは含まれません。詳細については、Access Token Profiles を参照してください。
rfc9068_profile_authzpermissions クレームを含む RFC 9068 トークンプロファイル (rfc9068_profile) です。アクセストークンの scope クレームには、要求された権限とユーザーに割り当てられた権限の共通部分が含まれます。アクセストークンの permissions クレームには、ユーザーに割り当てられたすべての権限が含まれます。権限の取得に必要な呼び出しを最小限に抑えられますが、トークンサイズは大きくなります。

詳しくはこちら