プッシュ型認可リクエスト（PAR）を設定する

Highly Regulated Identity 機能を使用するには、Highly Regulated Identity Add-on を含む Enterprise Plan が必要です。詳細については、Auth0 Pricingを参照してください。

Auth0 のプッシュ型認可リクエスト (PAR) の実装は、OAuth RFC9126: Push Authorization Request 仕様に基づいています。詳しくは、Authorization Code Flow with Pushed Authorization Requestsを参照してください。デフォルトでは、テナントで PAR は有効になっていません。これは、テナント設定のから有効にできます。詳しくは、Enable PAR for a tenantを参照してください。テナントで PAR を有効にすると、/oauth/par と /authorize の両方のエンドポイントに認可リクエストを送信できます。ただし、を完全に保護するには、Management API または Auth0 Dashboard の アプリケーション設定 で、アプリケーションに対して PAR を必須に設定してください。

テナントで PAR を有効にする

テナントで PAR を有効にするには、Auth0 Dashboard を使用します。

Auth0 Dashboard > Settings > Advanced に移動します。
Settings までスクロールし、Allow プッシュ型認可リクエスト (PAR) をオンにします。

アプリケーションで PAR を必須にする

Auth0 Dashboard
Management API

アプリケーションレベルで PAR を有効にする前に、テナントレベルで Allow プッシュ型認可リクエスト (PAR) を有効にしておく必要があります。

Auth0 Dashboard > Applications に移動します。
アプリケーションを選択します。
アプリケーション設定 タブを選択します。
Authorization Requests セクションで、Require プッシュ型認可リクエスト (PAR) トグルを有効にします。

アプリケーションレベルで PAR を有効にする前に、テナントレベルで Allow プッシュ型認可リクエスト (PAR) を有効にしておく必要があります。

次のコードサンプルを使用して、Management API でアプリケーションの PAR を設定します。

curl -X PATCH --location 'https://TENANT.auth0.com/api/v2/clients/CLIENT_ID' \
  --header 'Authorization: Bearer MANAGEMENT_ACCESS_TOKEN' \
  --header 'Content-Type: application/json' \
  --data-raw '{
   "require_pushed_authorization_requests": true
}'