OpenID FAPI認定テストに合格するようにAuth0を構成する

このセクションには、OpenID FAPI適合性テストを使用してソリューションをテストする場合にクライアントを構成する方法に関するアドバイスが含まれています。 FAPI適合性テストに合格するには、まず次の設定を行います。

compliance_levelプロパティを、fapi1_adv_pkj_parまたはfapi1_adv_mtls_parのいずれかの目的のプロファイルに設定します
mTLS（mTLS エイリアスを含む）を構成するか、秘密鍵JWTを構成
mTLSトークンバインディングを構成します

次に、以下の手順に従ってOpenID FAPI適合テストの構成を完了します。

Auth0がユーザーに同意を求めるプロンプトを表示するようにします
テナントに対してサポートされているACRクレームを構成します
JWKSエンドポイントからalgプロパティを削除します
スコープとredirect_uriを要求するアクションを追加します

Auth0がユーザーに同意を求めることを確認する

Auth0がユーザーに同意を求めることを確認する必要があります。クライアントがファーストパーティアプリとして構成されており、リソースサーバーまたはAPIがファーストパーティアプリの同意のスキップをサポートしている場合は、この手順をスキップできます。Auth0がユーザーに同意を求めるようにするには、クライアントのis_first_partyプロパティをfalseに設定します。

curl --location --request PATCH 'https://$tenant/api/v2/clients/$client_id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
  "is_first_party": false  
}'

次に、以下のように接続をドメインレベルに昇格します。

curl --location --request PATCH 'https://$tenant/api/v2/connections/$connection_id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
  "is_domain_connection": true
}'

テナントに対してサポートされているACRクレームを構成します

FAPIテストは、urn:mace:incommon:iap:silverの必須ACR値を渡します。IDトークンに必要なACR値を含めるには、以下のようにテナントでサポートされているACR値のリストにurn:mace:incommon:iap:silverを追加します。

curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
    "acr_values_supported": ["urn:mace:incommon:iap:silver"]
}'

JWKSエンドポイントからalgプロパティを削除します

キーをRS256だけでなく複数のアルゴリズムで使用できるようにするには、/.well-known/jwks.jsonエンドポイントの出力からテナントのalgプロパティを削除します。

curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
    "flags": {
        "remove_alg_from_jwks": true
    }
}'

スコープとredirect_uriを要求するアクションを追加します

デフォルトでは、Auth0はスコープのない要求を許可します。スコープが存在しない場合は、openidスコープであると想定します。Auth0は、アクションで設定できるredirect_uriのない要求も許可します。ただし、FAPI適合テストでは、Auth0の制限を強化する必要があります。次のアクションを追加して、スコープとredirect_uri に必要な制限を適用します。

exports.onExecutePostLogin = async (event, api) => {
  if (!event.request.body || !event.request.body.refresh_token) {
    // Require a scope
    if (!event.request.query.scope) {
      api.access.deny('scope must be provided in the request');
    }
    // To improve the error message if redirect_uri is not present
    if (!event.request.query.redirect_uri) {
      api.access.deny('redirect_uri must be provided in the request');
    }
  }
};

Auth0オンボーディング

基本を学ぶ

Auth0の構成

計画とデザイン

Auth0 AI

OpenID FAPI認定テストに合格するようにAuth0を構成する

Auth0がユーザーに同意を求めることを確認する

テナントに対してサポートされているACRクレームを構成します

JWKSエンドポイントからalgプロパティを削除します

スコープとredirect_uriを要求するアクションを追加します

もっと詳しく

Auth0オンボーディング

基本を学ぶ

Auth0の構成

計画とデザイン

Auth0 AI

​Auth0がユーザーに同意を求めることを確認する

​テナントに対してサポートされているACRクレームを構成します

​JWKSエンドポイントからalgプロパティを削除します

​スコープとredirect_uriを要求するアクションを追加します

​もっと詳しく

Auth0がユーザーに同意を求めることを確認する

テナントに対してサポートされているACRクレームを構成します

JWKSエンドポイントからalgプロパティを削除します

スコープとredirect_uriを要求するアクションを追加します

もっと詳しく