Documentation Index Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
Use this file to discover all available pages before exploring further.
このセクションには、OpenID FAPI適合性テスト を使用してソリューションをテストする場合にクライアントを構成する方法に関するアドバイスが含まれています。
OpenID 次に、以下の手順に従ってOpenID FAPI適合テストの構成を完了します。
Auth0がユーザーに同意を求めることを確認する必要があります。クライアントがファーストパーティアプリとして構成されており、リソースサーバーまたはAPIがファーストパーティアプリの同意のスキップをサポートしている場合は、この手順をスキップできます。Auth0がユーザーに同意を求めるようにするには、クライアントのis_first_partyプロパティをfalseに設定します。
curl --location --request PATCH 'https://$tenant/api/v2/clients/$client_id' \ --header 'Authorization: Bearer $management_access_token' \ --header 'Content-Type: application/json' \ --data-raw '{ "is_first_party": false }'
次に、以下のように接続をドメインレベルに昇格します。
curl --location --request PATCH 'https://$tenant/api/v2/connections/$connection_id' \ --header 'Authorization: Bearer $management_access_token' \ --header 'Content-Type: application/json' \ --data-raw '{ "is_domain_connection": true }'
FAPIテストは、urn:mace:incommon:iap:silverの必須ACR値を渡します。IDトークンに必要なACR値を含めるには、以下のようにテナントでサポートされているACR値のリストにurn:mace:incommon:iap:silverを追加します。
curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \ --header 'Authorization: Bearer $management_access_token' \ --header 'Content-Type: application/json' \ --data-raw '{ "acr_values_supported": ["urn:mace:incommon:iap:silver"] }'
JWKSエンドポイントからalgプロパティを削除します キーをRS256だけでなく複数のアルゴリズムで使用できるようにするには、/.well-known/jwks.jsonエンドポイントの出力からテナントのalgプロパティを削除します。
curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \ --header 'Authorization: Bearer $management_access_token' \ --header 'Content-Type: application/json' \ --data-raw '{ "flags": { "remove_alg_from_jwks": true } }'
スコープとredirect_uriを要求するアクションを追加します デフォルトでは、Auth0はスコープのない要求を許可します。スコープが存在しない場合は、openidスコープであると想定します。Auth0は、アクション で設定できるredirect_uriのない要求も許可します。ただし、FAPI適合テストでは、Auth0の制限を強化する必要があります。
次のアクションを追加して、スコープとredirect_uri に必要な制限を適用します。
exports . onExecutePostLogin = async ( event , api ) => { if ( ! event . request . body || ! event . request . body . refresh_token ) { // Require a scope if ( ! event . request . query . scope ) { api . access . deny ( 'scope must be provided in the request' ); } // To improve the error message if redirect_uri is not present if ( ! event . request . query . redirect_uri ) { api . access . deny ( 'redirect_uri must be provided in the request' ); } } };
