APIアクセスクレームを作成する
トークンには、件名または別の件名に関する記述であるクレームが含まれています(名前、ロール、メールアドレスなど)。
IDトークンクレームは動的です。デフォルトでは、認可サーバーは、アクセストークンまたは認証コードで要求された場合、IDトークンクレームをIDトークンに含めません。このデフォルトを維持するには、トークンタイプに含める(Include in token type)(Userinfo/id_token request)のユーザー情報/IDトークンの要求(Userinfo/id_token request)(Include in token type)を選択します。
IDトークンに常にクレームを含めるように認可サーバーを強制するには、トークンタイプに含める(Include in token type)(Always)の常に(Always)(Include in token type)を選択します。
クレームが含まれていない場合、クライアントはアクセストークンを使用してUserInfoエンドポイントからクレームを取得する必要があります。
- 表示する認可サーバーの名前を選択し、クレーム(Claims)を選択します。Oktaはデフォルトの件名クレームを提供します。マッピングを編集するか、独自のクレームを作成できます。
-
クレームを追加(Add Claim)を選択し、必要な情報を入力します。
-
名前(Name)
-
トークンタイプに含める(Include in token type)(Include in token type:):アクセストークン(Access Token)(OAuth 2.0)またはIDトークン(ID Token)(OpenID Connect)を選択します。IDトークンに関しては、2番目のドロップダウンボックスで、常に(Always)またはユーザー情報/IDトークンの要求(Userinfo/id_token request)を選択します。
-
値タイプ(Value type):クレームで定義された値がグループ(Group)フィルターを使用するか、Okta Expression Languageで記述された式(Expression)を使用するかを選択します。
-
マッピング(Mapping):式(Expression)を選択した際に表示されます。ここでOkta Expression Languageを使用してマッピングを追加します(例:
appuser.username)。式が予期した結果を返すことを必ず確認してください。式はここでは検証されません。 -
フィルター(Filter):グループ(Groups)を選択した際に表示されます。グループフィルターを追加するために使用します。空欄のままにすると、このクレームはすべてのユーザーを対象に含めます。
-
-
クレームを無効化(Disable claim):テストまたはデバッグのためにクレームを一時的に無効にするには、このオプションをオンにします。
-
含める(Include in):クレームが任意のスコープに対して有効かどうかを指定するか、クレームが有効なスコープを選択します。
-
クレーム(Claims)リストでは、次のことができます。
- クレームをタイプで並べ替えます。
-
作成したクレームを削除するか、テストまたはデバッグの目的でクレームを無効にします。
