日本語

リリース
API SDK
ボールト
アカウント API

Logto 製品アップデート

🎉 7 月のリリースをご紹介します：Logto API SDK、フェデレーテッドトークンの保管のためのシークレットボールト、Account API による TOTP およびバックアップコードの管理、その他多数！

Simeng

Developer

7/31/2025

ユーザー認証に何週間も費やすのはもうやめましょう

Logto でより速く安全なアプリをリリース。数分で認証を統合し、コア製品に集中できます。

始めましょう

Logto API SDK

TypeScript 用の SDK で、クライアントクレデンシャル認証を使って Logto の管理 API とやり取りできます。

使い方:

Logto コンソールでマシン・トゥ・マシンアプリケーションを作成します。
アプリケーションに管理 API へのアクセス権限を付与します。
npm で SDK をインストールします: npm install @logto/api
createManagementApi() を使い、アプリケーションのクレデンシャルで型付きの管理 API クライアントを作成します。

主な特徴:

OAuth トークンの認証や更新を自動的に処理します。
Logto Cloud とセルフホストインスタンスの両方をサポートします。
Logto の管理 API との統合を簡素化し、低レベルな API リクエストの対応ではなく機能開発に集中できます。

シークレットボールト

シークレットボールトは、Logto 内で機密ユーザーデータ（アクセストークン、API キー、パスコード、その他の機密情報）を安全に保管するためのストレージソリューションです。これらのシークレットは通常、ユーザーに代わってサードパーティサービスへアクセスする際に利用されるため、安全な保管が非常に重要です。

フェデレーテッドトークン保管対応

ソーシャルコネクタと企業 SSO コネクタの両方でトークン保管がサポートされました。有効化されると、Logto は認証成功後にアイデンティティプロバイダーから発行されたトークンセットを保管します。アプリケーションは後でアクセストークンを取得でき、ユーザーが再認証することなくサードパーティ API を呼び出せます。

サポートされるコネクタ：

ソーシャルコネクタ：GitHub、Google、Facebook、標準 OAuth 2.0、標準 OIDC
企業向け SSO コネクタ：すべての OIDC ベース SSO コネクタ

動作の流れ：

Logto コンソールまたは Logto 管理 API からソーシャルおよび企業 SSO コネクタのトークン保管を有効にします。
有効化されると、ユーザーが正常に認証した後、Logto がプロバイダーから発行されたトークンセットを自動的に保管します。
必要な際に Account API を通じて保管されたトークンを取得します。

詳細はシークレットボールトのドキュメントをご覧ください。

Account API で TOTP とバックアップコードの追加

ユーザーは Account API を通して TOTP とバックアップコードを追加できるようになりました。

POST /api/my-account/mfa-verifications/totp-secret/generate: TOTP シークレットの生成
POST /api/my-account/mfa-verifications/backup-codes/generate: バックアップコードの生成
POST /api/my-account/mfa-verifications: 生成されたシークレットまたはコードを使って TOTP またはバックアップコードを追加
GET /api/my-account/mfa-verifications/backup-codes: バックアップコードの取得

その他の改善

ソーシャルコネクタ: ソーシャルコネクタの認可 URL 生成時にカスタム scope パラメーターを指定できるようになりました。これにより Logto の social verification endpoint への呼び出し時に、ソーシャルプロバイダーから追加の権限を要求できます。 scope が指定された場合は認可リクエストでその値が使われ、指定がなければコネクタ設定のデフォルト scope が使用されます。
コンソール: 新しいシークレットボールト機能をよりよくサポートするため、ユーザー詳細ページのレイアウトをリファクタリングしました。ユーザーのソーシャルおよび企業 SSO のアイデンティティが新しい「コネクション」セクションに整理されます。このセクションでは、ユーザーがリンクしているすべてのコネクションを一覧表示し、サードパーティのアイデンティティ情報および（該当する場合）トークン保管状況を示します。各コネクションには詳細なユーザーアイデンティティページも用意されており、リンクされたアイデンティティと関連トークンに関する追加情報が確認できます。

バグ修正

organization_user_relations テーブルのテナント対応外部キー制約

問題点

開発者が他のテナントの user_id を誤って組織に割り当ててしまい、組織ユーザー API のエンドポイントで 500 エラーが発生する可能性がありました。元の organization_user_relations テーブルには users (id) への外部キー制約しかなく、テナントの分離に関係なく存在するユーザー ID が割り当てられてしまう問題がありました。

根本原因

Logto は全テーブルに Row Level Security (RLS) を適用し、テナントデータへのアクセスを分離します。ユーザーテーブルと organization_user_relations を結合した際、RLS 制限により実際のユーザーデータが現在のテナントからアクセスできなくなり、ユーザーデータが null で返されて 500 サーバーエラーが発生していました。

解決策

組織-ユーザー関連のテナント ID がユーザーのテナント ID と一致することを保証するため、(tenant_id, user_id) から users (tenant_id, id) への複合外部キー制約を追加しました。これにより、データベースレベルで厳密なテナント分離が担保されます。

Logto API SDK#

シークレットボールト#

フェデレーテッドトークン保管対応#

Account API で TOTP とバックアップコードの追加#

その他の改善#

バグ修正#

Logto API SDK#

シークレットボールト#

フェデレーテッドトークン保管対応#

Account API で TOTP とバックアップコードの追加#

その他の改善#

バグ修正#

Logto API SDK

シークレットボールト

フェデレーテッドトークン保管対応

Account API で TOTP とバックアップコードの追加

その他の改善

バグ修正

Logto API SDK

シークレットボールト

フェデレーテッドトークン保管対応

Account API で TOTP とバックアップコードの追加

その他の改善

バグ修正