拡張機能で認可ロジックを適用する前に、ログイントランザクション中の動作を構成する必要があります。構成設定は、実行時に実行されるルールにキャプチャされます。
前提条件
認可拡張機能のインストール拡張機能を構成
- [Auth0 Dashboard]>[Extensions(拡張機能)]に移動し、 [Auth0 Authorization(Auth0認可)] を選択します。
-
[Authorization Dashboard(認可ダッシュボード)] の右上にある [Configuration(設定)] を選択します。
-
これにより、 [Configuration(構成)] ページの [Rule Configuration(ルールの構成)] セクションが表示されます。グループ、ロール、権限に関連する変更など、 [Token Contents(トークンの内容)] の下のセクションで行ったすべての変更は、この手順の完了時にエクスポートするルールに反映されます。
ApiKey(Apiキー)
ルールは、ApiKeyを使用してAuthorization Extension API(認可拡張機能API)と通信し、ポリシーを取得します。ApiKeyはルール構成として保存され、ルールが公開されると自動的に作成されます。ApiKeyを回転するには、 [Rotate(ローテーション)] ボタンをクリックします。ApiKeyが回転すると、ルール構成が自動的に更新されます。発行されたトークンに認可情報を追加
グループやロール、権限などの認可データを、Auth0発行の送信されるトークンに保管することができます。アプリケーションはトークンを検査してこの情報を利用し、ユーザーの現在の認可コンテキストに基づいて適切な処置を行うことができます。 送信トークンにグループ、ロール、および権限情報を追加するには、含めるオプションの横にあるスライダーを有効にします。トークンに過度にデータを保管すると、パフォーマンスが低下するだけでなく、トークンが発行されなくなる可能性があります。必要なデータのみを保管するようにしてください。大量のユーザーデータをすぐに利用できるようにしたい場合は、トークンにデータを追加するのではなく、永続化を検討してください。
IdPからの認可データのマージ
Active Directoryなど、使用しているIDプロバイダー()からグループ、ロール、または権限を受け取るユーザーがいる場合があります。これらの項目を認可拡張機能で定義されている項目とマージ(保持)する場合は、適切な [Passthrough(パススルー)] オプションを有効にしてください。有効にする適切なマージの横にあるスライダーを有効にします。ユーザープロファイルに認可情報を保存
認可コンテキストが大きい場合(たとえば、ユーザーが多くのグループに属している場合や、多くの権限が付与されている場合などです。)、認可コンテンツの一部をユーザーのプロファイルに保存すると便利な場合があります。これにより、トークンに保存する情報が少なくなり、パフォーマンス関連の問題やトークン発行の問題が発生する可能性が低くなります。 [Persistence(永続化)] は、グループ、ロール、および権限情報をユーザーのプロファイルに保存するプロセスです。 データはユーザーのapp_metadataフィールドに保存され、ユーザーがログインした後、またはDashboardを使用してこの情報を取得できます。
