メインコンテンツへスキップ
Token Vault を使用すると、アプリケーションがユーザーに代わって外部 API にアクセスする処理を簡素化できます。Token Vault と統合すると、Google、GitHub、Microsoft など、幅広い外部サービスおよびそれらの API へのアプリケーションアクセスを安全に管理できるようになります。 ユーザーがサポートされている外部プロバイダーと接続し、 のスコープを使用してアクセスを認可すると、Auth0 はその連携アカウントを自動的にユーザープロファイルに追加します。連携アカウントにより、アプリケーションは統合された Auth0 ユーザープロファイルを使用して外部 API にアクセスできるようになります。詳細は、Connected Accounts for Token Vault を参照してください。 Auth0 は、各連携アカウントのアクセストークンとリフレッシュトークンを Token Vault に保存します。Token Vault からこれらの保存された認証情報を取得するために、アプリケーションは安全なトークン交換を実行します。このトークン交換により、アプリケーションは外部 API を呼び出すために必要なトークンを取得できるようになり、各プロバイダーごとにカスタム統合を構築・維持する必要がなくなります。

サポートされている外部プロバイダー

Token Vault は、次の一般的な外部プロバイダーをサポートしています。

ソーシャル

  • Google
  • Microsoft
  • Box
  • Slack
  • GitHub
  • カスタム ソーシャル接続

エンタープライズ

  • Google Workspace
  • Microsoft Azure AD (Entra ID)
  • Connect
サポートされている外部プロバイダーの全一覧については、Auth0 Integrations を参照してください。

一般的なユースケース

Token Vault の一般的なユースケースには次のようなものがあります。
  • Web アプリケーションとして動作する AI エージェントが、Google Calendar での予定のスケジュール設定など、ユーザーに代わってタスクを実行するために外部 API を呼び出す。
  • 内部サービスやバックエンドサービスが Token Vault にアクセスし、Auth0 のアクセストークンを外部プロバイダーのアクセストークンと交換して外部 API を呼び出す。

動作の仕組み

ユーザーがサポート対象の外部プロバイダーに接続し、その接続を許可すると、次の処理が行われます。
  • Auth0 は OAuth 2.0 のスコープを使用してアクセストークンとリフレッシュトークンを取得し、ユーザーは要求された権限を明示的に承認します。
  • Auth0 は接続された各アカウントのトークンを Token Vault に安全に保存します。各接続アカウントはユーザープロファイルにリンクされているため、アプリケーションはユーザーに接続の再承認を求めることなく、外部の API やサービスにアクセスできます。
  • アプリケーションは、ユーザーの有効な Auth0 トークンを、そのユーザーに対して発行された外部プロバイダーのアクセストークンに交換するために Auth0 を呼び出します。詳細については、Supported token exchanges を参照してください。
  • 外部プロバイダーのアクセストークンを使用して、アプリケーションはユーザーに代わって外部 API を呼び出すことができます。

サポートされているトークン交換

外部プロバイダーの API を呼び出すには、アプリケーションは Token Vault にある外部プロバイダーのアクセストークンと有効な Auth0 トークンを交換する必要があります。交換に使用される Auth0 トークンの種類は、クライアントアプリケーションの種類とユースケースによって異なります。 アプリケーションは、次のトークン交換を使用して Token Vault にアクセスできます。
トークン交換説明クライアントアプリケーションの種類
リフレッシュトークン交換Auth0 のリフレッシュトークンを外部プロバイダーのアクセストークンと交換します。ユーザーがアプリケーションを積極的に使用していないときでもユーザーセッションを維持し、外部 API にアクセスする必要がある Web、モバイル、ネイティブアプリケーションなど。
アクセストークン交換Auth0 のアクセストークンを外部プロバイダーのアクセストークンと交換します。シングルページアプリケーション (SPA) など、他のサービスやアプリケーションから受け取ったアクセストークンを交換する必要がある API またはマイクロサービス。
Privileged worker トークン交換署名付き JWT Bearer トークンを外部プロバイダーのアクセストークンまたはリフレッシュトークンと交換します。サービス間 (M2M) フローにおけるバックエンドアプリケーションまたはサービスワーカー。

はじめに

Token Vault の利用を開始するには、次の内容を参照してください。
参照するドキュメント学べる内容
Connected Accounts for Token VaultToken Vault の Connected Accounts の設定と使用方法。
Refresh Token Exchange with Token Vaultアプリケーションが Token Vault のリフレッシュトークンエクスチェンジを利用して外部 API を呼び出す方法。
Access Token Exchange with Token Vaultアプリケーションが Token Vault のアクセストークンエクスチェンジを利用して外部 API を呼び出す方法。
Privileged Worker Token Exchange with Token Vaultアプリケーションが Token Vault の特権ワーカートークンエクスチェンジを利用して外部 API を呼び出す方法。
Configure Token Vaultトークンエクスチェンジを含む Token Vault の設定方法。