サードパーティアプリケーション

サードパーティアプリケーションは、外部組織 (パートナー、独立系開発者、または AI エージェント) が所有・運用し、あなたのユーザーを認証して API にアクセスするアプリケーションです。あなたが直接管理するファーストパーティアプリケーションとは異なり、サードパーティアプリケーションは独立して動作します。つまり、これらのアプリケーションに自分のリソースへのアクセスを許可しても、そのアクセスを使って何を行うかを制御することはできません。ファーストパーティアプリケーションとサードパーティアプリケーションの違いについて詳しくは、First-Party and Third-Party Applicationsを参照してください。サードパーティアプリケーションには、次のような固有の特徴があります。

強化されたセキュリティ制御: Auth0 は、サードパーティアプリケーションに対して強化されたセキュリティ制御を適用し、外部アプリケーションが明示的に承認されたリソースにのみアクセスできるようにします。ファーストパーティのユースケース向けの機能は利用できません。
ユーザーの同意: サードパーティアプリケーションが API へのアクセスを要求する場合、Auth0 では常にユーザーの同意が必要です。同意を省略することはできません。
接続: サードパーティアプリケーションは、ドメインレベルの接続を通じてのみユーザーを認証できます。詳しくは、接続をドメインレベルに昇格させるを参照してください。

ユースケース

一般的なサードパーティアプリケーションのユースケースには、次のものがあります。

パートナー統合: 外部パートナーが、ユーザーに代わって自社のAPIを呼び出すアプリケーションを構築します。たとえば、CRM ベンダーが自社のプラットフォームと統合することで、共通の顧客が両方の製品間でデータを同期できるようになります。
AI エージェントと MCP クライアント: Claude Code、Copilot を利用する VS Code、またはカスタム MCP Server などの AI 搭載ツールが、ユーザーに代わって処理を実行するために自社の API に接続します。詳しくは、Auth for MCP を参照してください。
開発者エコシステム: 開発者ポータル、マーケットプレイス、または Dynamic Client Registration を通じて、外部開発者が自社のプラットフォーム向けアプリケーションを構築できるように API を公開します。
Cross App Access (XAA): 別の組織のテナントにあるワークフォースアプリケーションが、信頼関係を通じて自社の API にアクセスします。この場合、Requesting App は自社のテナント内でサードパーティアプリケーションとしてモデル化されます。詳しくは、Cross App Access を参照してください。

サポートされているクライアントタイプ

サードパーティアプリケーションは、機密クライアントタイプとパブリッククライアントタイプの両方をサポートしています。

クライアントタイプ	アプリケーションタイプ	ユースケース
機密	Regular Web App	サーバーサイドのパートナー統合
パブリック	Single Page App	ブラウザベースのパートナーウィジェット
パブリック	Native	モバイル向けパートナーアプリケーション

サポートされるグラントタイプ

サードパーティアプリケーションでは、次のグラントタイプがサポートされています。

authorization_code (PKCE が必須)
refresh_token
client_credentials (機密クライアントのみ)

はじめに

Auth0 でサードパーティアプリケーションを設定するには、次の手順に従ってください。

ステップ 1: アプリケーションを作成

Auth0 Dashboard または Management API を使用して、サードパーティアプリケーションを作成します。

ステップ 2: API アクセスを設定する

サードパーティアプリケーションが API にアクセスするには、API のアクセスポリシーが Allow All. に設定されている場合でも、常に明示的な認可が必要です。API アクセスポリシーは、クライアントグラントで設定します。すべてのサードパーティアプリケーションに自動的に適用されるデフォルトの権限を設定することもできます。これは、多数のサードパーティアプリケーションを管理している場合や、Dynamic Client Registration を使用している場合に便利です。詳しくは、サードパーティアプリケーションのデフォルト権限を参照してください。また、クライアントグラントを使用して、個々のアプリケーションに対する特定の権限を定義することもできます。アプリケーションごとの権限は、デフォルト設定より優先されます。詳しくは、クライアントグラントを作成するを参照してください。

ステップ 3: 接続を設定する

サードパーティアプリケーションでは、ドメインレベルに昇格した接続を介してのみユーザーを認証できます。ドメインレベルの接続は、テナント内のすべてのサードパーティアプリケーションで利用できます。接続をドメインレベルに昇格するには、接続をドメインレベルに昇格させるを参照してください。ユーザーがサードパーティアプリケーションを介して認証すると、Auth0 は、要求された権限を承認するようユーザーに求める同意ダイアログを表示します。サードパーティアプリケーションでは、同意は常に必要であり、スキップすることはできません。詳細については、ユーザーの同意とサードパーティアプリケーションを参照してください。

Dynamic Client Registration

Dynamic Client Registration では、デフォルトで強化されたセキュリティ制御を備えたサードパーティアプリケーションが作成されます。サードパーティアプリケーションに対して DCR を有効にする前に、動的に登録されたクライアントが API にアクセスできるよう、既定の API 権限を設定する必要があります。

​ユースケース

​サポートされているクライアントタイプ

​サポートされるグラントタイプ

​はじめに

​ステップ 1: アプリケーションを作成

​ステップ 2: API アクセスを設定する

​ステップ 3: 接続を設定する

​ステップ 4: ユーザーが同意する

​Dynamic Client Registration

​詳細はこちら