IDプロバイダーのアクセストークン
IDプロバイダーは、ユーザーを認証した後でサードパーティーのアクセストークンを発行します。このアクセストークンは、発行元のサードパーティープロバイダーのAPIを呼び出すのに使用することができます。たとえば、Facebookとのユーザー認証後に発行されたアクセストークンを使用して、Facebook Graph APIを呼び出すことができます。
個々のユーザーについては、IDプロバイダーのトークンは、特定の接続の要素の下のuser オブジェクトのidentities配列の中で利用できます。特定のユーザーのトークンに安全にアクセスするには、read:user_idp_tokensスコープを含むManagement APIのアクセストークンが必要です。その後、ユーザー取得エンドポイントにHTTP GET呼び出しを行い、トークンを取得します。
OAuth 2.0の同意フローを使用したエンタープライズ接続セットアップの管理者ユーザーについては、IDプロバイダーのトークンはconnectionオブジェクトで利用できます。接続のトークンに安全にアクセスするには、read:connectionsスコープを含むManagement APIのアクセストークンが必要です。その後、接続取得エンドポイントにHTTP GET呼び出しを行い、トークンを取得します。
サードパーティのアクセストークンの内容は、発行しているIDプロバイダーによって異なります。サードパーティ(FacebookやGitHubなど)が作成・管理するトークンであるため、有効期間は発行者によって異なります。これらのトークンが侵害されたと思われる場合は、発行したサードパーティに失効またはリセットしてもらわなければなりません。
サードパーティーのトークンを更新する
Auth0を介してIDプロバイダーのアクセストークンを更新するのに、標準的な手段はありません。IDプロバイダーのアクセストークンを更新するメカニズムは、各プロバイダーに依存します。Auth0は、特定のIDプロバイダーに対してリフレッシュトークンも保管します。保管されたトークンを使って、IDプロバイダーの新しいアクセストークンを取得できます。以下のようなIDプロバイダーがあります。
BitBucket
Google OAuth 2.0(Auth0
/authorizeエンドポイントを呼び出すときに、パラメーターaccess_type=offline、および 必要なスコープを含んだconnection_scopeパラメーターを渡します)他のOAuth 2.0 IDプロバイダー
SharePoint
Microsoft Entra ID
アクセストークンを取得したのと同じ方法でリフレッシュトークンを取得できます。詳細については、上述のガイドラインをご覧ください。
サードパーティーのトークンを検証する
一般的に、IDプロバイダーから受け取ったアクセストークンは、検証する必要はありません。発行者に渡せば、発行者が処理をします。