メインコンテンツまでスキップ

ユーザー管理

Logto コンソールを介して管理

ユーザーの閲覧と検索

Logto コンソールでユーザー管理機能にアクセスするには、コンソール > ユーザー管理 に移動します。そこでは、すべてのユーザーのテーブルビューが表示されます。

テーブルは次の 3 つの列で構成されています:

  • ユーザー:ユーザーのアバター、フルネーム、ユーザー名、電話番号、メールアドレスなどの情報を表示します。
  • アプリケーションから:ユーザーが最初に登録したアプリケーションの名前を表示します。
  • 最新のサインイン:ユーザーの最新のサインインのタイムスタンプを表示します。

nameidusernameprimary-phoneprimary-email のキーワードマッピングをサポートしています。

ユーザーの追加

コンソールを使用して、開発者はエンドユーザーのために新しいアカウントを作成できます。画面の右上隅にある「ユーザーを追加」ボタンをクリックします。

Logto コンソールまたは Management API を介してユーザーを作成する場合(UI を介してエンドユーザーが自己登録するのではなく)、少なくとも 1 つの識別子を提供する必要があります:primary emailprimary phone、または usernamename フィールドはオプションです。

ユーザーが作成されると、Logto は自動的にランダムなパスワードを生成します。初期パスワードは一度だけ表示されますが、後で パスワードをリセット できます。特定のパスワードを設定したい場合は、ユーザーが作成された後に Management API patch /api/users/{userId}/password を使用して更新します。

入力された識別子(メールアドレス / 電話番号 / ユーザー名)初期パスワード をワンクリックでコピーでき、新しいユーザーにこれらの資格情報を簡単に共有してサインインしてもらうことができます。

ヒント:

招待制の登録を実装したい場合は、マジックリンクでユーザーを招待する ことをお勧めします。これにより、ホワイトリストに登録されたユーザーのみが自己登録し、自分のパスワードを設定できます。

ユーザープロフィールの表示と更新

ユーザーの詳細を表示するには、ユーザーテーブルの対応する行をクリックするだけです。これにより、ユーザーのプロフィール情報を含む「ユーザー詳細」ページに移動します:

  • 認証 (Authentication) 関連データ
    • メールアドレス (primary_email):編集可能
    • 電話番号 (primary_phone):編集可能
    • ユーザー名 (username):編集可能
    • パスワード (has_password):ランダムなパスワードを再生成できます。「ユーザーパスワードのリセット」について詳しく学びます。
    • 多要素認証 (MFA) (mfa_verification_factor):このユーザーが設定したすべての認証要素(例:パスキー、認証アプリ、バックアップコード)を表示します。要素はコンソールで削除できます。
    • パスキー:テナントで パスキーサインイン が有効になっている場合、ユーザーのサインインパスキーをユーザー詳細ページで表示し、必要に応じて削除できます。これらのパスキーは、MFA で使用されるのと同じ WebAuthn 資格情報モデルによってサポートされています。
    • 個人用アクセストークン個人用アクセストークン を作成、表示、名前変更、削除します。
  • 接続
    • ソーシャル接続 (identities):
      • ユーザーのリンクされたソーシャルアカウントを表示し、ソーシャルプロバイダーから同期されたソーシャル ID とプロフィール詳細を表示します(例:ユーザーが Facebook 経由でサインインした場合、「Facebook」エントリが表示されます)。
      • 既存のソーシャルアイデンティティを削除できますが、ユーザーの代わりに新しいソーシャルアカウントをリンクすることはできません。
      • トークンストレージ が有効になっているソーシャルコネクターの場合、接続詳細ページでアクセストークンとリフレッシュトークンを表示および管理できます。
    • エンタープライズ SSO 接続 (sso_identities):
      • ユーザーのリンクされたエンタープライズアイデンティティを表示し、エンタープライズ ID とエンタープライズアイデンティティプロバイダーから同期されたプロフィール詳細を表示します。
      • コンソールでエンタープライズ SSO アイデンティティを追加または削除することはできません。
      • トークンストレージ が有効になっている OIDC ベースのエンタープライズコネクターの場合、接続詳細ページでトークンを表示および削除できます。
  • ユーザープロフィールデータ:名前、アバター URL、カスタムデータ、および含まれていない追加の OpenID Connect 標準クレーム。これらのプロフィールフィールドはすべて編集可能です。
  • セッション:デバイス情報、sessionId、および GEO ロケーション(該当する場合)を含むユーザーのアクティブセッションのリストを表示します。セッションの詳細ページでセッションの詳細を表示し、取り消すことができます。
警告:

ソーシャル接続を削除する前に、ユーザーが別のソーシャル接続、電話番号、メール、またはユーザー名とパスワードなどの代替サインイン方法を持っていることを確認することが重要です。ユーザーが他のサインイン方法を持っていない場合、ソーシャル接続が削除されるとアカウントに再度アクセスできなくなります。

ユーザーアクティビティの表示

ユーザーの最近のアクティビティを表示するには、「ユーザー詳細」ページの「ユーザーログ」サブタブに移動します。ここでは、ユーザーの最近のアクティビティを表示するテーブルがあり、実行されたアクション、アクションの結果、関連するアプリケーション、およびユーザーが行動した時間が含まれています。

テーブル行をクリックして、ユーザーログの詳細を確認します。例:IP アドレス、ユーザーエージェント、生データなど。

ユーザーの一時停止

「ユーザー詳細」ページで、「三点リーダー」->「ユーザーの一時停止」ボタンをクリックします。

ユーザーが一時停止されると、そのユーザーはアプリにサインインできなくなり、現在のアクセス トークンが期限切れになった後に新しいアクセス トークンを取得することもできなくなります。さらに、このユーザーによって行われた API リクエストはすべて失敗します。

このユーザーを再アクティブ化したい場合は、「三点リーダー」->「ユーザーの再アクティブ化」ボタンをクリックすることで可能です。

ユーザーの削除

「ユーザー詳細」ページで、「三点リーダー」->「削除」ボタンをクリックします。ユーザーの削除は元に戻せません。

ユーザーパスワードのリセット

「ユーザー詳細」ページで、「三点リーダー」->「パスワードのリセット」ボタンをクリックすると、Logto が自動的にランダムなパスワードを再生成します。

パスワードをリセットした後、コピーしてエンドユーザーに送信します。「パスワードのリセット」モーダルが閉じられると、パスワードを表示することはできなくなります。保持するのを忘れた場合は、再度リセットできます。

Logto コンソールでユーザーに特定のパスワードを設定することはできませんが、Management API PATCH /api/users/{userId}/password を使用してパスワードを指定できます。

ユーザーのアクティブセッションの管理

「ユーザー詳細」ページで、特定のセッションの「管理」ボタンをクリックして「セッション詳細」ページに移動します。ここでは、デバイス、場所、ログイン時間など、セッションの詳細情報を表示できます。このセッションからユーザーをログアウトさせたい場合は、右上隅の「セッションの取り消し」ボタンをクリックするだけで、セッションが即座に取り消されます。

  • デフォルトでは、コンソールでセッションを取り消すと、そのセッションに関連付けられたすべてのファーストパーティアプリの許可も取り消され、ユーザーはアクセスを復元するために再度サインインする必要があります。ファーストパーティアプリに事前に発行された不透明トークンとリフレッシュトークンも即座に取り消されます。
  • offline_access スコープを持つサードパーティアプリの場合、セッションを取り消してもデフォルトではアプリの許可は取り消されず、事前に発行されたリフレッシュトークンは許可が期限切れになるまで使用できます。

ユーザーが認可したサードパーティアプリの管理

「ユーザー詳細」ページで、「認可されたサードパーティアプリ」セクションを使用して、ユーザーのアプリ認可ステータスを確認できます。 このセクションは、ユーザーが認可したアプリ(許可)の管理 API によってサポートされています。

各認可されたアプリについて、コンソールは次の情報を表示します:

  • アプリ名
  • アプリ ID
  • アクセス作成時間

アクセスを削除する必要がある場合は、取り消しアクションをクリックし、モーダルで確認します。

アプリの認可を取り消すと、そのアプリに関連付けられたすべてのアクティブなサードパーティの許可がユーザーに対して削除されます。また、そのアプリに対して事前に発行された不透明トークンとリフレッシュトークンも即座に取り消されます。

パスワードコンプライアンスチェック

Logto で パスワードポリシー を更新した後、既存のユーザーは現在のパスワードでサインインを続けることができます。新しく作成されたアカウントのみが更新されたパスワードポリシーに従う必要があります。

より強力なセキュリティを強制するために、POST /api/sign-in-exp/default/check-password API を使用して、ユーザーのパスワードがデフォルトのサインイン体験で定義された現在のポリシーを満たしているかどうかを確認できます。満たしていない場合は、Account API を使用してカスタムフローでユーザーにパスワードの更新を促すことができます。

ユーザーのロールの管理

ユーザー詳細ページの「ロール」タブで、目的に応じてロールを簡単に割り当てたり削除したりできます。詳細については、ロールベースのアクセス制御 を確認してください。

ユーザーが所属する組織の表示

Logto は 組織 をサポートしており、そのメンバーを管理できます。ユーザーの詳細を簡単に表示し、どの組織に属しているかを確認できます。

Logto Management API を介して管理

Management API は、Logto バックエンドサービスへのアクセスを提供する API のコレクションです。前述のように、ユーザー API はこのサービスの重要なコンポーネントであり、さまざまなシナリオをサポートできます。

ユーザー関連の RESTful API は、ユーザーアクティビティ、つまりユーザーログ /api/logs?userId=:userId を除いて、/api/users にマウントされています。

Management API を通じて、いくつかのユースケースでユーザーを管理できます。例えば、高度なユーザー検索一括アカウント作成招待制サインアップ などです。

よくある質問

特定のユーザーに対して特定のアプリケーションへのアクセスを制限する方法は?

Logto の Omni-sign-in の性質上、認証前に特定のアプリケーションへのユーザーアクセスを制限するようには設計されていません。 ただし、アプリケーション固有のユーザーロールと権限を設計して API リソースを保護し、ユーザーのサインインが成功した後に API アクセス時に権限を検証することは可能です。 詳細については、認可 (Authorization):ロールベースのアクセス制御 を参照してください。