APIアクセススコープを作成する

スコープは、APIエンドポイントに対して実行できる高レベルの操作を表します。アプリケーションは認証サーバーからこれらのスコープを要求します。サーバーアクセスポリシーは、権限を付与するスコープと拒否するスコープを決定します。

すべての認証サーバーは複数の予約済みスコープを保有しています。必要に応じてアプリケーションごとに別のスコープを追加できます。

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。

  2. 認証サーバーの名前をクリックし、[Scopes(スコープ)]を選択します。
  3. [Add Scope(スコープを追加)]をクリックします。
  4. 名前と説明を入力します。
  5. [User Consent(ユーザーの同意)]オプションを選択します。
    • [Implicit(暗黙)]:デフォルト設定。ユーザーは、情報へのアクセス権をアプリに付与するように求められません。このスコープについてユーザーの同意が暗に示されます。
    • [Optional(任意):ユーザーはSign-In Widgetに同意の画面が表示される場合、このスコープの承認をスキップできます。
    • [Required(必須)]:このスコープについてユーザーの同意が必要であり、ユーザーは同意のオプションを変更しない可能性があります。
  6. 任意。[User Consent(ユーザーの同意)][Optional(任意)]または[Required(必須)]オプションを選択する場合、[Block services from requesting this scope(サービスがこのスコープを要求するのをブロックする)]チェックボックスをオフにします。

  7. 許可リクエストでスコープを指定していないアプリにOktaが承認リクエストを付与できるようにするには、[Set as a default scope(デフォルトスコープとして設定)]を選択します。

    クライアントが承認リクエストでスコープパラメーターを省略した場合、Oktaはアクセスポリシールールで許可されているすべてのデフォルトスコープをアクセストークンで返します。

  8. 公開メタデータにこのスコープを含めるには、[Include in public metadata(公開メタデータに含める)]を選択します。

  9. [Save(保存)]をクリックします。

これらのスコープは、[Claims(クレーム)]によって参照されます。

OAuth 2.0とOpenID Connectフローのユーザーの同意機能を使用するアプリを作成する場合は、スコープに関する[User Consent(ユーザーの同意)]オプションを[Implicit(暗黙)]または[Required(必須)]に設定します。