日本語
  • sso
  • 認証
  • 承諾
  • 権限
  • idp

Logto をサードパーティ認証プロバイダー (IdP) として使用する

Logto は、サードパーティアプリケーションの認証プロバイダーとして使用できます。この記事では、Logto を IdP として設定する方法を説明します。

Simeng
Simeng
Developer

ユーザー認証に何週間も費やすのはもうやめましょう
Logto でより速く安全なアプリをリリース。数分で認証を統合し、コア製品に集中できます。
始めましょう
Product screenshot

Logto は、認証、認可、およびユーザー管理機能の包括的なセットを提供するクラウドベースのアイデンティティおよびアクセス管理 (IAM) プラットフォームです。これはあなたのサードパーティアプリケーションまたはサービスの IdP として使用でき、ユーザーを認証し、これらのアプリケーションへのアクセスを管理することができます。

この記事では、あなたのサードパーティアプリケーションの IdP として Logto を設定する方法と、それを使用してユーザーを認証し、彼らの権限を管理する方法を説明します。

IdP とは何か?

認証プロバイダー (IdP) は、ユーザーのアイデンティティを確認し、そのログイン資格情報を管理するサービスです。ユーザーのアイデンティティを確認した後、IdP は認証トークンやアサーションを生成し、再度ログインすることなくさまざまなアプリケーションやサービスにアクセスできるようにします。基本的には、エンタープライズで従業員のアイデンティティや権限を管理するためのシステムです。

サードパーティ IdP とは何か?

サードパーティ IdP は、サービスプロバイダー (SP) とは異なる組織が所有する IdP です。SP は、自分自身が所有していないユーザーデータへのアクセスを要求しています。例えば、Logto を IdP として使用し、サードパーティのソーシャルアプリにサインインすると、Logto はそのソーシャルアプリに対するサードパーティ IdP です。

実際の世界では、多くのアプリケーションが Google や Facebook、または他のサードパーティサービスを IdP として使用しています。それはシングルサインオン (SSO) と呼ばれます。SSO についての詳細は、私たちの CIAM 101: 認証、アイデンティティ、SSO をチェックしてください。

それでは、あなたのアプリケーションに Logto をサードパーティ IdP として統合する方法を見ていきましょう。

アプリケーションにサードパーティ IdP を統合する方法とそのベストプラクティス

必要条件

  • 始める前に、Logto アカウントが必要です。持っていない場合は、Logto で無料アカウントにサインアップできます。

  • Logto を IdP として設定したいサードパーティアプリケーション。ユーザーは Logto アカウントでサインインできます。

Logto でサードパーティ OIDC アプリケーションを作成する

Logto でサードパーティ OIDC アプリケーションを作成するには、次のステップに従ってください:

  1. Logto コンソール にアクセスして、アプリケーションページに移動します。

  2. ページの右上にある アプリケーションを作成 ボタンをクリックします。アプリケーションタイプとして「サードパーティアプリ -> OIDC」を選択します。

    アプリケーションを作成

  3. ポップアップモーダルに基本的なアプリケーション詳細を入力し、作成ボタンをクリックします。これにより、Logto に新しいサードパーティアプリケーションエンティティが生成され、詳細ページに移動します。

    アプリケーションの詳細

OIDC 設定を設定する

アプリケーション詳細ページで OIDC 設定を設定するには、次のステップに従ってください:

  1. 作成したばかりのサードパーティアプリケーションのアプリケーション詳細ページに移動します。

  2. サードパーティアプリケーションのリダイレクト URIを提供します。これは、Logto によって認証された後にサードパーティアプリケーションがユーザーをリダイレクトする URL です。通常、この情報はサードパーティアプリケーションの IdP 接続設定ページにあります。

    redirect uri

    (Logto は複数のリダイレクト URI をサポートしています。追加のリダイレクト URI を追加するには、別のものを追加ボタンをクリックしてください。)

  3. Logto からクライアント IDクライアントシークレットをコピーし、それらをサービスプロバイダーの IdP 接続設定ページに入力します。

    client credentials

  4. Logto からOIDC ディスカバリーエンドポイントをコピーし、それをサービスプロバイダーの IdP 接続設定ページに入力します。

    OIDC ディスカバリーエンドポイントは、サービスプロバイダーが IdP の OIDC 設定詳細を発見するために使用できる URL です。その中には、サービスプロバイダーが Logto を使用してユーザーを認証するために必要な、認証エンドポイント、トークンエンドポイント、ユーザー情報エンドポイントなどの情報が含まれています。

    discovery endpoint endpoint details

チェックポイント

すべての OIDC 設定詳細が揃ったら、あなたのアプリケーションのサードパーティ IdP として Logto を使用できます。ユーザーが Logto アカウントでサインインできるように統合をテストしてください。

アプリケーションの権限を管理する

ファーストパーティアプリケーションとは異なり、サードパーティアプリケーションは Logto が所有していないアプリケーションです。通常、サードパーティサービスプロバイダーが外部 IdP として Logto を使用してユーザーを認証します。たとえば、Slack、Zoom、Notion などのすべてがサードパーティアプリケーションです。

サードパーティアプリケーションがユーザー情報へのアクセスを要求するときに、適切な権限を付与することが重要です。Logto は、ユーザープロファイルスコープ、API リソーススコープ、組織スコープを含むサードパーティアプリケーションの権限を管理することができます。

非有効スコープを要求するとエラーが発生します。これはあなたのユーザー情報が保護されており、信頼できるサードパーティアプリケーションのみにアクセス可能であることを確信するためです。スコープが有効にされたら、サードパーティアプリケーションはこれらの有効化されたスコープへのアクセスを要求できます。これらのスコープはユーザーの許可ページに表示され、ユーザーがサードパーティアプリケーションに対してアクセスを許可するかレビューや判断できるようになります。

ユーザー承諾画面が何かについての詳細は、私たちのユーザー承諾画面の記事をチェックしてください。

あなたのサードパーティアプリケーションに権限を追加する

アプリケーション詳細ページに行き、権限タブに移動します。サードパーティアプリケーションの権限を追加するために 権限を追加 ボタンをクリックします。

権限タブ

ユーザー権限 (ユーザープロファイルスコープ)

これらの権限は OIDC 標準であり、Logto の基本的なユーザープロファイルスコープで、ユーザークレームにアクセスするために使用されます。ユーザークレームは ID トークンおよびユーザー情報エンドポイントに応じて返されます。

user permissions

API リソース権限 (API リソーススコープ)

Logto は API リソースに対する RBAC (役割ベースのアクセス制御) を提供します。API リソースはあなたのサービスが所有し、Logto によって保護されているリソースです。あなたの API リソースへのアクセスのためにサードパーティアプリケーションに自定 API スコープを割り振ることができます。これらの API リソーススコープを使用する方法がわからない場合は、私たちの RBACAPI の保護方法 ガイドをチェックしてください。

api resource permissions

自分の API リソーススコープを作成、管理するには、Logto コンソールの API リソース ページに移動します。

組織権限 (組織スコープ)

組織権限は Logto 組織専用に定義されたスコープです。それは組織情報やリソースにアクセスするために使用されます。組織と組織スコープの使用方法についての詳細は、私たちの組織 ガイドをチェックしてください。

organization permissions

あなたの組織スコープを作成、管理するには、Logto コンソールの 組織テンプレート ページに行くことができます。組織の設定の詳細を参照してください。

承諾ページ

すべての権限が有効になると、サードパーティアプリケーションは有効にされた権限へのアクセスを要求することができます。これらの権限はユーザーの承諾ページに表示され、ユーザーがサードパーティアプリケーションへのアクセスを許可するかレビューや判断できるようになります。

consent permissions

承認ボタンをクリックすると、ユーザーは要求された権限にアクセスするサードパーティアプリケーションに対するアクセスを許可します。

承諾画面をカスタマイズする

最後ですが重要なことに、サードパーティのブランディング情報とプライバシーリンクがユーザーに正しく表示されることを確保することが大切です。

Logto はファーストパーティアプリケーションのユニバーサルサインイン体験に加え、あなたのサードパーティアプリケーションの追加のブランディング情報をカスタマイズすることができます。これにはアプリケーション名、ロゴ、および利用規約リンクが含まれます。

  1. Logto コンソールにアクセスし、サードパーティアプリケーションの詳細ページに移動します。

  2. ブランディングタブに移動します。

    branding tab

  • 表示名: 承諾ページに表示されるサードパーティアプリケーションの名前です。それはあなたのユーザー情報にアクセスしようとするサードパーティアプリケーションの名前を表します。このフィールドが空のままにされるとアプリケーション名が使用されます。
  • ロゴ: 承諾ページに表示されるサードパーティアプリケーションのロゴです。それはあなたのユーザー情報にアクセスしようとするサードパーティアプリケーションのブランドを表します。サードパーティアプリケーションのロゴと Logto ユニバーサルサインイン体験ロゴの両方が提供されている場合は、承諾ページに表示されます。
  • ダーク logto: ダークモードサインイン体験が有効になっている場合にのみ利用可能。サインイン体験ページでダークモードの設定を管理します。
  • 利用規約リンク: 承諾ページに表示されるサードパーティアプリケーションの利用規約リンクです。
  • プライバシーリンク: 承諾ページに表示されるサードパーティアプリケーションのプライバシーリンクです。

まとめ

おめでとうございます!アプリケーションのサードパーティ IdP として Logto を効果的に統合しました。OIDC 設定を構成することで、ユーザーの認証と認可のための堅牢で安全なメカニズムを確立しました。Logto を導入することで、サードパーティアプリケーションへのユーザー認証とアクセス規制のためのスムーズなプロセスを得ることができます。

Logto を無料でお試しください