メインコンテンツへスキップ
または を使用して、ロールベースアクセス制御 (RBAC) を有効にできます。これにより、API Authorization Core 機能セットが有効になります。 RBAC が有効な場合、scope クレーム には、要求された Permissions とユーザーに割り当てられた Permissions の共通部分が含まれます。これは、Permissions がアクセストークンにも含まれているかどうかにかかわらず適用されます。RBAC が無効な場合、アプリケーションは API に対して定義されている任意の Permissions を要求でき、scope クレーム には要求されたすべての Permissions が含まれます。
アクセストークンのスコープを変更する Actions を設定している場合、それらによって RBAC が設定したスコープは上書きされます。

Dashboard

  1. Dashboard > Applications > APIs に移動し、表示する API の名前をクリックします。
    Dashboard Applications APIs List
  2. RBAC Settings までスクロールし、Enable RBAC トグルを有効にします。
    Auth0 Dashboard API Settings RBAC toggle
  3. ユーザーに割り当てられているすべての Permissions をアクセストークンの permissions クレームに含めるには、Add Permissions in the Access Token トグルを有効にし、Save をクリックします。アクセストークンに Permissions を含めると、Permissions を取得するための呼び出し回数を最小限に抑えられますが、トークンサイズは大きくなります。 Add Permissions in the Access Token トグルを有効にすると、Auth0 は API に設定されている access token profile に基づいて、トークンダイアレクトも更新します。
    • トークンダイアレクトが access_token の場合、Auth0 はそれを access_token_authz に更新します。これは、permissions クレームを含む access_token プロファイルに相当します。
    • トークンダイアレクトが rfc9068_profile の場合、Auth0 はそれを rfc9068_profile_authz に更新します。これは、permissions クレームを含む rfc9068_profile に相当します。
    使用可能なトークンダイアレクトの詳細については、トークンダイアレクトのオプション を参照してください。

Management API

Management API を使用して RBAC を有効にするには、Update a resource server endpoint に PATCH リクエストを送信します。PATCH リクエストでは、enforce_policiestrue に設定します。 API_IDMGMT_API_ACCESS_TOKENTOKEN_DIALECT を、以下の表に示す対応する値に置き換えます。
ParameterDescription
API_IDRBAC を有効にする API の ID。
MGMT_API_ACCESS_TOKENスコープ update:resource_servers を持つ Management API のアクセストークン
TOKEN_DIALECT指定した API のアクセストークンのダイアレクト。詳細については、トークンダイアレクトのオプション を参照してください。

トークンダイアレクトのオプション

Auth0 では、次のトークンダイアレクトをサポートしています。
説明
access_tokenAuth0 のデフォルトのトークンプロファイルは、JSON Web Token (JWT) 形式のアクセストークンを生成します。アクセストークンの scope クレーム には、要求された Permissions とユーザーに割り当てられた Permissions の共通部分が含まれます。permissions クレーム は含まれません。詳しくは、Access Token Profiles を参照してください。
access_token_authzpermissions クレーム を含む Auth0 のデフォルトのトークンプロファイル (access_token) です。アクセストークンの scope クレーム には、要求された Permissions とユーザーに割り当てられた Permissions の共通部分が含まれます。アクセストークンの permissions クレーム には、ユーザーに割り当てられたすべての Permissions が含まれます。Permissions の取得に必要な呼び出しを最小限に抑えられますが、トークンサイズは大きくなります。
rfc9068_profileRFC 9068 トークンプロファイルは、IETF JWT Profile for OAuth 2.0 Access Tokens (RFC 9068) に準拠した JWT 形式のアクセストークンを生成します。アクセストークンの scope クレーム には、要求された Permissions とユーザーに割り当てられた Permissions の共通部分が含まれます。permissions クレーム は含まれません。詳しくは、Access Token Profiles を参照してください。
rfc9068_profile_authzpermissions クレーム を含む RFC 9068 トークンプロファイル (rfc9068_profile) です。アクセストークンの scope クレーム には、要求された Permissions とユーザーに割り当てられた Permissions の共通部分が含まれます。アクセストークンの permissions クレーム には、ユーザーに割り当てられたすべての Permissions が含まれます。Permissions の取得に必要な呼び出しを最小限に抑えられますが、トークンサイズは大きくなります。

詳しくは