APIの設定

Auth0 Dashboardの［Settings（設定）］タブ（［Dashboard］>［Applications（アプリケーション）］>［API］）を使って、認可されたアプリケーションから使用可能な登録済みのAPIを構成します。APIを構成するには、リストのAPIの横にある［...］をクリックして［Settings（設定）］を選択するか、API名をクリックします。APIの作成および登録方法については、「APIを登録する」をお読みください。

このタブでは、トークンの有効期間、ロールベースのアクセス制御（RBAC）、その他のアクセス設定を構成できます。タブの下にある［Save（保存）］をクリックして変更内容を保存します。

これらのフィールドは、最初にAPIを登録したときに設定されますが、Auth0 Management APIの場合は例外です。変更可能なのは［Name（名前）］のみです。

• Id：Auth0によって生成された一意のアルファベット文字列です。この情報は、読み取り専用で、Auth0 Management APIのリソースサーバーエンドポイントを直接使用する場合にのみ必要です。

• Name（名前）：APIのフレンドリー名です。いずれの機能にも影響しません。次の文字は使用できません：<>。

• Identifier（識別子）：APIの一意の識別子です。この値は、APIの作成時に設定され、以降変更することはできません。URLの使用を推奨していますが、公開されたURLである必要はありません。Auth0がAPIを呼び出すことはありません。

• Maximum Access Token Lifetime (Seconds)（アクセストークンの最大ライフタイム（秒単位））：アクセストークンの有効期限が切れるまでの時間（秒単位）です。デフォルトの値は、86,400秒（24時間）です。設定できる最大値は、2,592,000秒（30日間）です。

• Implicit / Hybrid Flow Access Token Lifetime (Seconds)（暗黙/ハイブリッドフローを使用したアクセストークンのライフタイム（秒単位））：暗黙/ハイブリッドフローを使用して発行されたアクセストークンの有効期限が切れるまでの時間（秒単位）です。デフォルトの値は、86,400秒（24時間）です。値はアクセストークンの最大ライフタイムよりも長くできません。

• JSON Web Token (JWT) Profile（JSON Web Token（JWT）プロファイル）：プロファイルは、APIに発行されるアクセストークンの形式を決定します。使用可能な値はAuth0とRFC 9068です。詳細については、「アクセストークンのプロファイル」をお読みください。

• JSON Web Token (JWT) Signing Algorithm（JSON Web Token （JWT）の署名アルゴリズム）：トークンの署名に使用するアルゴリズムです。署名は、JWTの送信者が自称のとおりであることを検証し、メッセージが途中で変更されていないことを保証するために使用されます。使用可能な値はHS256とRS256です。RS256（推奨）を選択すると、トークンがテナントの秘密鍵で署名されます。この値は、APIの作成時に設定され、以降変更することはできません。署名アルゴリズムとAuth0での役割については、「署名アルゴリズム」をお読みください。

  署名はJWTの一部です。JWTの構造に慣れていない場合は、「JSON Web Tokenの構造」を参照してください。

• JSON Web Encryption（JWE）：有効な場合、発行されたアクセストークンは、JSON Web Encryption（JWE）形式で暗号化されます。詳細については、「JSON Web Encryption」をお読みください。

• Enable RBAC（RBACを有効にする）：有効にすると、APIにRBACポリシーが適用されます。詳細については、「ロールベースのアクセス制御」と「APIにロールベースのアクセス制御を有効にする」をお読みください。トラブルシューティングのヘルプについては、「ロールベースのアクセス制御と認可のトラブルシューティングを実行する」を参照してください。

• Add Permissions in the Access Token（アクセストークンに権限を追加する）：有効にすると、アクセストークンに権限クレームを追加できます。この設定は、RBACを有効にしている場合のみ利用できます。権限は［Permissions（権限）］タブで構成することができます。

• Allow Skipping User Consent（ユーザー同意のスキップを許可）：有効にすると、「ファーストパーティ」のフラグが付いたアプリケーションついて、APIがユーザー同意をスキップします。

• Allow Offline Access（オフラインアクセスの許可）：有効にすると、アプリケーションがAPIにリフレッシュトークンを要求できます。

［Permissions（権限）］タブの設定を使って、APIが使用する権限（スコープ）を定義します。詳細については、「APIに権限を追加する」と「APIの権限を削除する」をお読みください。

M2Mアプリケーションがある場合は、このタブのリストに表示されます。リストにあるアプリケーションは、トグルを使って認可します。詳細については、「マシンツーマシンアプリケーションを登録する」をお読みください。

APIでテストを行うためのテストアプリケーションが自動的に作成されます。Management APIテスト用にマシンツーマシンアプリケーションを作成する方法については、「テスト用にマシンツーマシンアプリケーションを作成する」をお読みください。

Auth0 Management APIの［Settings（設定）］を表示すると、［API Explorer］と呼ばれる追加のタブが表示されます。

トラブルシューティングのヘルプについては、「API呼び出しを確認する」をお読みください。

• APIを登録する
• トークン
• 署名アルゴリズム
• APIスコープ
• 複数のAPIの論理APIを構成する
• テスト用にM2Mアプリケーションを作成する