Management APIのアクセストークン

Auth0 Management API v2エンドポイントを呼び出すには、Auth0 Management APIトークンと呼ばれるアクセストークンを使って、認証を行う必要があります。これらのトークンはJSON Web Token (JWT)で、スコープと呼ばれる固有の付与権限が含まれます。

Management APIトークンをテスト用に初めて取得したときに、Dashboardでマシンツーマシンアプリケーションの認証を行います。Management APIの使用目的に応じて、様々な方法でManagement APIトークンを取得することができます。

• テスト：Auth0 Dashboardでプロンプトに従って、テストトークンを手動で取得することができます。

• 本番環境：Auth0では、本番環境向けに短期トークンをプログラムで取得されることをお勧めします。

• シングルページアプリケーション（SPA）：SPAはパブリッククライアントで、機微情報を安全に保存できないため、他のアプリケーションタイプとは異なり、フロントエンドからManagement APIトークンを取得する必要があります。いくつかの制限事項が設けられています。

Management APIトークンの有効期限は24時間です。古いアクセストークンが期限切れになったら、トークンを新規作成します。

トークンをテスト目的で使用する場合は有効期間を変更できますが、セキュリティリスクを最小限に抑えるために、短期トークンを使用されることをお勧めします。Management APIトークンを更新または取り消すことはできません。

• 窃取されたトークン：トークンが窃取された場合は、Management API /delete_client_grants_by_idエンドポイントを使用するか、Dashboardで手動でAPIアプリケーションを無効化して、新しいトークンが発行されないようアプリケーション付与を削除することができます。

• 窃取されたクライアントシークレット：クライアントシークレットが窃取された場合は、Management API /post_rotate_secretエンドポイントを使用するか、Dashboardのアプリケーションの設定で［Rotate（ローテーションする）］アイコンをクリックして、クライアントシークレットをローテーションすることができます。

Auth0 API（Management API、Authentication API、MFA APIなど）に対して発行されたトークンは、DashboardにリストされたM2Mトークンクォータに加算されません。クォータに加算されるのは、外部オーディエンスを持つトークンのみです。詳細については、「Auth0 Management APIのレート制限」を参照してください。

トークンクォータ制限は、サブスクリプションの階層別に分割されます。詳細については、「Auth0の価格設定」を参照してください。現在のクオータにはAuth0サポートセンターからアクセスできます。価格設定またはクォータに関する質問は、弊社のセールスチームまで直接お問い合わせください。

• テスト用にManagement APIアクセストークンを取得する
• 本番環境のManagement APIアクセストークンの取得
• シングルページアプリケーションのManagement APIアクセストークンを取得する
• Auth0 Management APIv2トークンの変更
• アクセストークンを使用するManagement APIエンドポイントに移行する