M2Mアクセスを監査する
組織へのマシンツーマシンアクセスは、クライアント権限付与を組織に直接関連付けるか、クライアント権限付与設定で任意の組織へのアクセスを許可することで付与できます。どちらのシナリオも、Auth0 DashboardまたはManagement APIから監査でき、アプリケーションに対して組織に関連付けられたクライアント権限付与のリストを表示または取得できます。組織へのM2Mアクセス権限の仕組みの詳細については、「M2Mアクセスのアプリケーションを構成する」および「M2Mアクセスを認可する」をお読みください。
直接関連付けによって付与されるアクセス
Auth0 DashboardとManagement APIを使用して、組織に直接関連付けられているクライアント許可のM2Mアクセスを監査します。
特定のOrganizationに対して認可されたアプリケーションクライアントの許可をAuth0 Dashboardで表示するには:
[Organizations(組織)]に移動して、調査したい組織を選択します。
[Machine-to-Machine Access(マシンツーマシンアクセス)]タブを選択します。このOrganizationで直接の関連付けを介してAPIにアクセスできる、すべてのアプリケーションのページネーションされたリストを取得できます。
アプリケーションを選択して、そのアプリケーションに認可されたAPIリストを確認します。
Organizationに関連付けられたクライアントの許可は、Organization Client Grants(Organizationのクライアントの許可)APIエンドポイントを介して取得できます:
curl -X GET --location "https://{YOUR_DOMAIN}/api/v2/organizations/{ORG_id}/client-grants/" \
--header 'authorization: Bearer MGMT_API_ACCESS_TOKEN'Was this helpful?
または、Organizationの少なくとも1つのAPIにアクセスできるアプリケーションについての情報を取得したい場合は、Get Client Grants(クライアントの取得)APIエンドポイントで検索語句にclient_grant.organization_id:{organization_id}を使用し、qクエリパラメーターを使用できます。Lucene構文を使用します。この構文は、ユーザー検索のクエリ構文に類似しています。
curl -X GET --location "https://{YOUR_DOMAIN}/api/v2/clients?q=client_grant.organization_id%3Aorganization_id" \
--header 'authorization: Bearer MGMT_API_ACCESS_TOKEN'Was this helpful?
任意の組織に付与されるアクセス
Auth0 DashboardとManagement APIを使用して、任意の組織にアクセス権が付与されているアプリケーションのM2Mアクセスを監査します。
[Organizations(組織)]に移動します。
[Machine to Machine Access(マシン間アクセス)]タブを選択します。組織のAPIの少なくとも1つにアクセスできる、すべてのアプリケーションのページ番号付きリストが表示されます。
アプリケーションを選択すると、そのアプリケーションに許可されているAPIの一覧が表示されます。
allow_any_organizationパラメーターのあるクライアントの許可は、Get Client Grants(クライアントの許可の取得)APIエンドポイントを介して取得できます:
curl -X GET --location "https://{YOUR_DOMAIN}/api/v2/client-grants?allow_any_organization=true" \
--header 'authorization: Bearer MGMT_API_ACCESS_TOKEN'Was this helpful?
または、任意のOrganizationの少なくとも1つのAPIにアクセスできるアプリケーションについての情報を取得したい場合は、Get Client Grants(クライアントの許可の取得)APIエンドポイントで検索語句にclient_grant.allow_any_organization:trueを使用し、qクエリパラメーターを使用できます。Lucene構文を使用します。この構文は、ユーザー検索のクエリ構文に類似しています。
curl -X GET --location "https://{YOUR_DOMAIN}/api/v2/clients?q=client_grant.allow_any_organization%3Atrue" \
--header 'authorization: Bearer MGMT_API_ACCESS_TOKEN'Was this helpful?
組織のアクセスに基づいてアプリケーションを検索する
検索結果は最終的に矛盾しない
次の表は、/clientsエンドポイントでqパラメータを使用してアプリケーションをクエリするためにサポートされている検索用語を示しています。
| フィールド | 説明 |
|---|---|
client_grant.organization_id:{organization_id} |
1つの組織のAPIの1つ以上にアクセスできるアプリケーションの検索に使用します。 |
client_grant.allow_any_organization:true |
任意の組織のAPIの1つ以上にアクセスできるアプリケーションの検索に使用します。 |
テナントログ
Organizationsのマシンツーマシンアクセスもテナントログに反映されます。要求に関連付けられているorganizationは、対応するseccftテナントログで確認できます。
次のコードサンプルは、組織情報を含むseccftテナントログの例です。
{
"date": "2024-10-24T19:06:17.460Z",
"type": "seccft",
"description": "Client Credentials for Access Token",
"connection_id": "",
"client_id": "qoQKtXuhdSibs1jUeXk3mmCwXoAafGnO",
"client_name": "jwt.io (Test Application)",
"ip": "130.41.219.72",
"user_agent": "Other 0.0.0 / Other 0.0.0",
"hostname": "david-test.test-aws-abundant-lobster-6004.auth0c.com",
"user_id": "",
"user_name": "",
"organization_id": "org_mPdwToiiHHOtz0SH",
"organization_name": "cc_test",
"audience": "https://jwt.io.com",
"scope": "read:data",
"$event_schema": {
"version": "1.0.0"
},
"log_id": "90020241024190617517817000000000000001223372036854775862",
"tenant_name": "david-test",
"_id": "90020241024190617517817000000000000001223372036854775862",
"isMobile": false,
"id": "90020241024190617517817000000000000001223372036854775862"
}Was this helpful?