メインコンテンツへスキップ
Auth0 Dashboardには、APIを追加しなくても最初からAuth0 Management API というAPIがあります。Management APIの機能と使用可能なエンドポイントについては、「Management API」を参照してください。
  1. [Dashboard]>[Applications(アプリケーション)]>[APIs(API)]に移動して、[+Create API(APIの作成)] を選択します。
  2. APIのために以下の情報を入力して、[Create(作成)] をクリックします。 | フィールド | 説明 | 例 | | --- | --- | --- | | Name(名前) | APIのわかりやすい名前です。機能性には影響しません。 | yourDomain | | Identifier(識別子) | APIの一意の識別子です。URLの使用を推奨します。Auth0では、末尾にスラッシュを含むURLが区別されます。たとえば、https://example.comhttps://example.com/は異なる識別子として扱われます。このURLは公開されているURLでなくても構いません。Auth0がAPIを呼び出すことはありません。この値は後で変更できません。 | https://{yourDomain} | | JSON Web Token (JWT) Profile(JSON Web Token(JWT)プロファイル) | このプロファイルが、APIに発行されるアクセストークンの形式を決定します。使用できる値はAuth0RFC 9068です。詳細については、「アクセストークンのプロファイル」を参照してください。 | access_token | | JSON Web Token (JWT) Signing Algorithm(JSON Web Token(JWT)署名アルゴリズム) | アクセストークンの署名に使用されるアルゴリズムです。使用できる値はHS256PS256RS256です。RS256を選択すると、トークンはテナントの秘密鍵で署名されます。 | HS256 |
  3. QuickStartで説明されているように、APIに構成変更を加えます。これらの変更は、定義済みリストからJWTライブラリーを選択すること、APIのアクセストークンを検証するようにこのライブラリーを構成することを含みます。
    Dashboard - アプリケーション - API - Quickstart
    新しいカスタムAPIを作成していて、テナントにシングルページまたはネイティブアプリケーションがある場合には、Role-based Access Control(RBAC)を有効にしなければなりません。そうすることで、それらのアプリケーションにログインしているユーザーが、スコープを考慮しないAPIにアクセストークンを生成するのを防ぎます。APIに対してRBACを有効化する方法については、「APIのRole-Based Access Controlを有効にする」をお読みください。
APIで利用できる他のDashboardビューは以下です。
  • Settings(設定):APIの設定のリストです。その中の一部は編集可能です。ここでは、トークンの有効期間を変更し、オフラインアクセスを有効にできます(これにより、Auth0はこのAPIのリフレッシュトークンのためにアプリケーションにアクセスできます)。
  • スコープ:名前と説明を設定して、このAPIのスコープを定義できます。
  • Machine-to-Machine Applications(M2Mアプリケーション)クライアントの資格情報 付与が有効になっている全アプリケーションをリスト表示します。デフォルトでは、この付与は、通常のウェブアプリケーションおよびM2Mアプリケーションに対して有効になっています。APIのアクセストークンを要求するようにこれらのいずれかのアプリケーションに権限を付与できます。オプションとして、認可されたアプリケーションのアクセスを制限するために、定義済みスコープのサブセットを選択できます。
  • Test(テスト):認可されたアプリケーションでクライアントの資格情報フローを実行して、すべてが期待通りに機能することを確認します。

もっと詳しく