APIアクセススコープを作成する
スコープは、APIエンドポイントに対して実行できる高レベルの操作を表します。アプリケーションは認可サーバーからこれらのスコープを要求します。サーバーアクセスポリシーは、権限を付与するスコープと拒否するスコープを決定します。
すべての認可サーバーは複数の予約済みスコープを保有しています。必要に応じてアプリケーションごとに別のスコープを追加できます。
-
Okta Admin Consoleで、[Security(セキュリティ)]>[API]に移動します。
-
認可サーバーの名前をクリックし、[Scopes(スコープ)]を選択します。
-
[Add Scope(スコープを追加)]をクリックします。
-
名前と説明を入力します。
-
このスコープに対するユーザーの同意が必要な場合は、[User Consent(ユーザーの同意)]をオンにします。
-
オプション。[User Consent(ユーザーの同意)]をオンにした場合は、[Block services from requesting this scope(サービスがこのスコープを要求するのをブロックする)]チェックボックスをオフにします。
チェックボックスをオフにすると、ユーザーがアプリケーションと対話するときに同意が必要になりますが、サービスアプリケーションが直接スコープを要求する場合は同意は必要ありません。詳細については、「柔軟な同意」を参照してください。
-
認可リクエストでスコープを指定していないアプリにOktaが認可リクエストを付与できるようにするには、[Default scope(デフォルトスコープ)]を選択します。
クライアントが認可リクエストでスコープパラメーターを省略した場合、Oktaはアクセスポリシールールで許可されているすべてのデフォルトスコープをアクセストークンで返します。
-
[Save(保存)]をクリックします。
これらのスコープは、[Claims(クレーム)]によって参照されます。
OAuth 2.0とOpenID Connectフローのユーザーの同意機能を使用するアプリを作成する場合は、スコープに関する[User Consent(ユーザーの同意)]を[Yes(はい)]に設定します。