メインコンテンツへスキップ
このドキュメントでは、 Connect (OIDC) 認証プロトコルで使用されるスコープについて説明します。OIDC 自体の詳細については、OpenID Connect プロトコルを参照してください。 OpenID Connect (OIDC) のスコープは、認証時にアプリケーションがユーザーの名前やプロフィール画像などの情報へのアクセスを要求するために使用されます。各スコープは、クレームと呼ばれる一連のユーザー属性を返します。アプリケーションが要求すべきスコープは、そのアプリケーションに必要なユーザー属性によって異なります。ユーザーが要求されたスコープを認可すると、クレームはで返され、/userinfo エンドポイントからも利用できます。 たとえば、通常の Web アプリケーションを構築して Auth0 に登録し、ユーザーが username とパスワードでログインできるように設定したとします。ユーザーがアプリにログインした後、そのユーザーの名前を含むパーソナライズされたウェルカムメールを自動生成して送信したいとします。
  1. ユーザーがアプリ内の Login をクリックします。
  2. アプリは、次のスコープを含めてユーザーを Auth0 認可サーバー (/authorize エンドポイント) にリダイレクトします。
    • openid (必須。アプリケーションがユーザーの本人確認に OIDC を使用することを示すため)
    • profile (ユーザーの名前を使ってメールをパーソナライズするため)
    • email (ウェルカムメールの送信先を把握するため)
  3. Auth0 認可サーバーがユーザーをログインプロンプトにリダイレクトします。
  4. ユーザーは認証を行い、Auth0 がアプリに付与するスコープ (プロフィール情報やメールアドレスへのアクセスを含む) が一覧表示された同意ページを確認します。
  5. ユーザーはこれを承諾し、Auth0 に保存されている自分の情報に対して、アプリにこのレベルのアクセスを許可します。
  6. これで、アプリはユーザーのプロフィール情報とメールアドレスにアクセスできるようになります。

標準クレーム

標準クレームは、名前、メールアドレス、画像などのユーザー情報をアプリケーションに提供するためのもので、OIDC プロトコルであらかじめ定義されています。これらのクレームは IDトークン で返され、/userinfo エンドポイントからも取得できます。 また、カスタムクレームを作成することもできます。カスタムクレームは、Auth0 Actionsを使用して定義、制御し、トークンに追加するクレームです。詳しくは、JSON Web Token Claimsを参照してください。 OIDC の基本的な (かつ必須の) スコープは openid です。これは、アプリケーションが OIDC プロトコルを使用してユーザーの本人確認を行うことを示します。これに加えて、アプリケーションは scope パラメーターに要求するスコープ名をスペース区切りで指定することで、追加のスコープを要求できます。 最も一般的に使用されるスコープに含まれる標準クレームを以下に示します。利用可能な標準クレームの完全な一覧については、OIDC specification: Standard Claims on openid.netを参照してください。スコープの完全な一覧については、OIDC specification: Requesting Claims Using Scope Values on openid.netを参照してください。
スコープクレーム
openid(必須) ユーザーを一意に識別する sub クレームを返します。IDトークン には、issaudexpiatat_hash クレームも含まれます。IDトークン のクレームの詳細については、ID Token Structureを参照してください。
profilenamefamily_namegiven_namemiddle_namenicknamepictureupdated_at など、基本的なプロフィール情報を表すクレームを返します。
emailユーザーのメールアドレスを含む email クレームと、メールアドレスがユーザーによって確認済みかどうかを示すブール値の email_verified を返します。
アプリケーションで標準クレームを要求する方法の例については、Sample Use Cases: Scopes and Claimsを参照してください。

詳細情報