Logto 製品アップデート
Logto v1.36 では、プレビュー展開向けのワイルドカードリダイレクト URI サポート、アプリレベルのトークン交換制御、OIDC コネクタでの未確認メールの信頼オプション、ソーシャルサインイン時の識別子収集スキップが追加されました。
Developer
Logto v1.36 が登場しました。このリリースでは、ワイルドカードリダイレクト URI サポート、アプリレベルのトークン交換制御、OIDC コネクタで未確認メールを信頼できる機能が追加されました。
ワイルドカードリダイレクト URI
コミュニティコントリビューター @Arochka のおかげで、リダイレクト URI にワイルドカードパターン(*)が利用できるようになりました。これは、URL が動的に生成されるプレビュー展開のようなダイナミックな環境で特に役立ちます。
Web アプリ向けルール:
- ワイルドカードは http/https URI のホスト名とパス名で動作します
- スキーム、ポート、クエリー、ハッシュにはワイルドカードを使用できません
- ホスト名パターンには、過度に広い一致を防ぐために少なくとも一つのドットが必須です
アプリレベル制御付きトークン交換
トークン交換はマシン間アプリケーションで利用可能になり、どのアプリが利用できるかを細かく制御できます。
- アプリケーション設定に新しい
allowTokenExchangeオプションを追加 - 新しいアプリではトークン交換はデフォルトで無効
- 既存のファーストパーティアプリ(従来型、ネイティブ、SPA)は後方互換性を維持するため有効
- サードパーティアプリはトークン交換を利用不可
- パブリッククライアントで有効にする時は Console でリスク警告を表示
OIDC コネクタで未確認メールを信頼
一部の IdP は email_verified を返さなかったり、メールが有効でも false を返すことがあります。OIDC ソーシャルコネクタやエンタープライズ SSO コネクタで、認証状態に関係なくメールを同期できるようになりました。
コネクタ構成で trustUnverifiedEmail を有効にできます(デフォルトは false)。このオプションは OIDC および Azure AD SSO コネクタの管理コンソールで利用できます。
ソーシャルサインインで識別子収集スキップ
Apple App Store のガイドラインにより、「Sign in with Apple」は Apple が提供する以上の追加情報を求めてはいけません。これを助けるため、ソーシャルサインイン時の必須識別子収集をスキップできる新オプションを追加しました。
サインイン体験設定のソーシャルサインインセクションにある「サインアップに必要な識別子をユーザーに入力させる」チェックボックスを探してください。
API 改善
ユーザーロール API で結果を返すようになりました
POST /users/:userId/rolesは新しく割り当てられたロールを示す{ roleIds, addedRoleIds }を返しますPUT /users/:userId/rolesは最終状態を確認できる{ roleIds }を返します
@logto/api の新しい createApiClient 関数
トークン取得ロジックを独自実装した型安全な API クライアントを作成できます。
バグ修正
- Postgres タイムアウト:PgBouncer/RDS Proxy 互換向けに
DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUTを設定 - エンタープライズ SSO エラー:SSO アカウントが存在しない時のエラーコードを修正
- JIT メールドメイン:Console ですべてのドメインが表示されるようページネーション制限を解除
- 直接サインイン:繰り返し自動サインインリクエストの修正
- 監査ログフィルター:空のフィルタ結果を引き起こすタイプミスを修正