メインコンテンツまでスキップ
API docs by Redocly

idp-server コントロールプレーン テナント管理 API (1.0.0)

Download OpenAPI specification:Download

テナントおよび認可サーバーの管理API仕様書

organization-tenant

組織レベルテナント管理

Create tenant within organization

特定の組織に新しいテナントを作成します

path Parameters
organization-id
required
string <uuid>

組織の識別子

query Parameters
dry_run
boolean
Default: false

trueの場合、リクエストの検証のみで実行はされません

Request Body schema: application/json
required
required
object
required
object (OpenIDConfiguration)

Responses

Request samples

Content type
application/json
{
  • "tenant": {
    },
  • "authorization_server": {
    }
}

Response samples

Content type
application/json
{
  • "dry_run": true,
  • "result": {
    }
}

List tenants within organization

特定の組織のテナント一覧を取得します

path Parameters
organization-id
required
string <uuid>

組織の識別子

query Parameters
limit
integer [ 1 .. 1000 ]
Default: 20

返すアイテムの最大数

offset
integer >= 0
Default: 0

アイテムを返す開始インデックス

Responses

Response samples

Content type
application/json
{
  • "list": [
    ]
}

Get tenant within organization

組織の特定のテナントを取得します

path Parameters
organization-id
required
string <uuid>

組織の識別子

tenant-id
required
string

テナントの識別子

Responses

Response samples

Content type
application/json
{
  • "id": "497f6eca-6276-4993-bfeb-53cbbbba6f08",
  • "name": "string",
  • "type": "BUSINESS",
  • "domain": "http://example.com",
  • "description": "string",
  • "authorization_provider": "string",
  • "created_at": "2019-08-24T14:15:22Z",
  • "updated_at": "2019-08-24T14:15:22Z"
}

Update tenant within organization

組織の特定のテナントを更新します

path Parameters
organization-id
required
string <uuid>

組織の識別子

tenant-id
required
string

テナントの識別子

query Parameters
dry_run
boolean
Default: false

trueの場合、リクエストの検証のみで実行はされません

Request Body schema: application/json
required
name
string <= 255 characters

Tenant name

tenant_type
string
Enum: "BUSINESS" "PERSONAL"

Tenant type

description
string

Human-readable description of the tenant

object (UIConfiguration)
object (CorsConfiguration)
object (SessionConfiguration)

セッション管理とCookie設定。

構成パターン別の推奨設定:

構成 cookie_domain cookie_same_site 説明
同一オリジン 指定なし Lax/Strict IdPとRPが同じドメイン
サブドメイン 親ドメイン(例: example.com) Lax idp.example.com ↔ app.example.com
クロスサイト 指定なし None(Secure必須) idp.example.com ↔ app.another.com

サブドメイン間はSame-Site扱い: idp.example.comとapp.example.comはCross-Originだが、Same-Site(eTLD+1が同じ)。 SameSite=Laxでも全リクエストでCookieが送信される。

object (SecurityEventLogConfiguration)
object (SecurityEventUserAttributeConfiguration)

セキュリティイベントに含めるユーザー属性の制御

object (IdentityPolicyConfiguration)

ユーザー識別ポリシーとパスワードポリシーの設定

  • identity_unique_key_type: ユーザーの一意識別子として使用するフィールドを定義
  • password_policy: パスワードの要件を定義(OWASP/NIST準拠)
  • authentication_device_rule: 認証デバイス登録ルール(最大登録数、身元確認必須等)

Responses

Request samples

Content type
application/json
{
  • "name": "string",
  • "tenant_type": "BUSINESS",
  • "description": "string",
  • "ui_config": {
    },
  • "cors_config": {
    },
  • "session_config": {
    },
  • "security_event_log_config": {
    },
  • "security_event_user_config": {
    },
  • "identity_policy_config": {
    }
}

Response samples

Content type
application/json
{
  • "dry_run": true,
  • "result": {
    }
}

Delete tenant within organization

組織の特定のテナントを削除します

path Parameters
organization-id
required
string <uuid>

組織の識別子

tenant-id
required
string

テナントの識別子

query Parameters
dry_run
boolean
Default: false

trueの場合、リクエストの検証のみで実行はされません

Responses

Response samples

Content type
application/json
{
  • "error": "string",
  • "error_description": "string",
  • "error_messages": [
    ],
  • "error_details": { }
}

organization-authorization-server

組織レベル認可サーバー管理

Get authorization server configuration for organization tenant

組織内の特定のテナントの認証サーバー設定を取得します

path Parameters
organization-id
required
string <uuid>

組織の識別子

tenant-id
required
string

テナントの識別子

Responses

Response samples

Content type
application/json
{
  • "issuer": "http://example.com",
  • "authorization_endpoint": "http://example.com",
  • "token_endpoint": "http://example.com",
  • "userinfo_endpoint": "http://example.com",
  • "jwk": "string",
  • "jwks_uri": "http://example.com",
  • "registration_endpoint": "http://example.com",
  • "scopes_supported": [
    ],
  • "response_types_supported": [
    ],
  • "response_modes_supported": [
    ],
  • "grant_types_supported": [
    ],
  • "acr_values_supported": [
    ],
  • "subject_types_supported": [
    ],
  • "id_token_signing_alg_values_supported": [
    ],
  • "id_token_encryption_alg_values_supported": [
    ],
  • "id_token_encryption_enc_values_supported": [
    ],
  • "userinfo_signing_alg_values_supported": [
    ],
  • "userinfo_encryption_alg_values_supported": [
    ],
  • "userinfo_encryption_enc_values_supported": [
    ],
  • "request_object_signing_alg_values_supported": [
    ],
  • "request_object_encryption_alg_values_supported": [
    ],
  • "request_object_encryption_enc_values_supported": [
    ],
  • "token_endpoint_auth_methods_supported": [
    ],
  • "token_endpoint_auth_signing_alg_values_supported": [
    ],
  • "display_values_supported": [
    ],
  • "claim_types_supported": [
    ],
  • "claims_supported": [
    ],
  • "service_documentation": "http://example.com",
  • "claims_locales_supported": [
    ],
  • "ui_locales_supported": [
    ],
  • "claims_parameter_supported": true,
  • "request_parameter_supported": false,
  • "request_uri_parameter_supported": false,
  • "require_request_uri_registration": false,
  • "op_policy_uri": "http://example.com",
  • "op_tos_uri": "http://example.com",
  • "revocation_endpoint": "http://example.com",
  • "revocation_endpoint_auth_methods_supported": [
    ],
  • "revocation_endpoint_auth_signing_alg_values_supported": [
    ],
  • "introspection_endpoint": "http://example.com",
  • "introspection_endpoint_auth_methods_supported": [
    ],
  • "introspection_endpoint_auth_signing_alg_values_supported": [
    ],
  • "code_challenge_methods_supported": [
    ],
  • "extension": {
    }
}

Update authorization server configuration for organization tenant

組織内の特定のテナントの認証サーバー設定を更新します

path Parameters
organization-id
required
string <uuid>

組織の識別子

tenant-id
required
string

テナントの識別子

query Parameters
dry_run
boolean
Default: false

trueの場合、リクエストの検証のみで実行はされません

Request Body schema: application/json
required
issuer
required
string <uri>

必須。OPが発行者識別子として主張するhttpsスキームを使用し、クエリやフラグメントコンポーネントを含まないURL。発行者発見がサポートされている場合(セクション2参照)、この値はWebFingerによって返される発行者値と同一でなければならない。また、この発行者から発行されるIDトークンのissクレーム値と同一でなければならない。

authorization_endpoint
required
string <uri>

必須。OPのOAuth 2.0認可エンドポイント[OpenID.Core]のURL。このURLはhttpsスキームを使用しなければならず、ポート、パス、クエリパラメータコンポーネントを含んでもよい。

token_endpoint
required
string <uri>

OPのOAuth 2.0トークンエンドポイント[OpenID.Core]のURL。Implicitフローのみが使用される場合を除き、これは必須である。このURLはhttpsスキームを使用しなければならず、ポート、パス、クエリパラメータコンポーネントを含んでもよい。

userinfo_endpoint
string <uri>

推奨。OPのUserInfoエンドポイント[OpenID.Core]のURL。このURLはhttpsスキームを使用しなければならず、ポート、パス、クエリパラメータコンポーネントを含んでもよい。

jwk
string <jwks>

JWKセット

jwks_uri
required
string <uri>

必須。OPのJWKセット[JWK]ドキュメントのURL。httpsスキームを使用しなければならない。これにはRPがOPからの署名を検証するために使用する署名鍵が含まれる。JWKセットには、RPがサーバーへのリクエストを暗号化するために使用するサーバーの暗号化鍵も含まれる場合がある。署名鍵と暗号化鍵の両方が利用可能な場合、参照されるJWKセット内のすべての鍵に対して、各鍵の意図された用途を示すuse(公開鍵用途)パラメータ値が必須である。一部のアルゴリズムでは同じ鍵を署名と暗号化の両方に使用できるが、セキュリティが低下するため推奨されない。JWK x5cパラメータは、提供される鍵のX.509表現を提供するために使用される場合がある。使用される場合、素の鍵値も存在しなければならず、証明書内の値と一致しなければならない。JWKセットには秘密鍵や対称鍵値を含んではならない。

registration_endpoint
string <uri>

推奨。OPの動的クライアント登録エンドポイント[OpenID.Registration]のURL。httpsスキームを使用しなければならない。

scopes_supported
required
Array of strings

推奨。このサーバーがサポートするOAuth 2.0 [RFC6749]スコープ値のリストを含むJSON配列。サーバーはopenidスコープ値をサポートしなければならない。このパラメータが使用される場合でも、サーバーはサポートされているスコープ値の一部を広告しないことを選択してもよいが、[OpenID.Core]で定義されているものは、サポートされている場合はリストされるべきである。

response_types_supported
required
Array of strings
Items Enum: "code" "token" "id_token" "code token" "code token id_token" "token id_token" "code id_token" "none"

必須。このOPがサポートするOAuth 2.0 response_type値のリストを含むJSON配列。動的OpenIDプロバイダーは、code、id_token、およびid_token tokenレスポンスタイプ値をサポートしなければならない。

response_modes_supported
required
Array of strings
Default: ["query","fragment"]
Items Enum: "query" "fragment"

オプション。OAuth 2.0 Multiple Response Type Encoding Practices [OAuth.Responses]で指定されているように、このOPがサポートするOAuth 2.0 response_mode値のリストを含むJSON配列。省略された場合、動的OpenIDプロバイダーのデフォルトは["query", "fragment"]である。

grant_types_supported
Array of strings
Default: ["authorization_code","implicit"]
Items Enum: "authorization_code" "implicit" "refresh_token" "password" "client_credentials" "urn:openid:params:grant-type:ciba"

オプション。このOPがサポートするOAuth 2.0グラントタイプ値のリストを含むJSON配列。動的OpenIDプロバイダーはauthorization_codeおよびimplicitグラントタイプ値をサポートしなければならず、他のグラントタイプをサポートしてもよい。省略された場合、デフォルト値は["authorization_code", "implicit"]である。

acr_values_supported
Array of strings

オプション。このOPがサポートする認証コンテキストクラス参照のリストを含むJSON配列。

subject_types_supported
required
Array of strings
Items Enum: "pairwise" "public"

必須。このOPがサポートするサブジェクト識別子タイプのリストを含むJSON配列。有効なタイプにはpairwiseおよびpublicが含まれる。

id_token_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

必須。OPがIDTokenでクレームをJWT [JWT]でエンコードするためにサポートするJWS署名アルゴリズム(alg値)のリストを含むJSON配列。アルゴリズムRS256を含めなければならない。値noneはサポートされてもよいが、使用されるレスポンスタイプが認証エンドポイントからIDTokenを返さない場合(認証コードフロー使用時など)を除き使用してはならない。

id_token_encryption_alg_values_supported
Array of strings
Items Enum: "RSA1_5" "A128KW"

オプション。OPがIDTokenでクレームをJWT [JWT]でエンコードするためにサポートするJWE暗号化アルゴリズム(alg値)のリストを含むJSON配列。

id_token_encryption_enc_values_supported
Array of strings
Items Enum: "A128CBC-HS256" "A128GCM" "A256GCM"

オプション。OPがIDTokenでクレームをJWT [JWT]でエンコードするためにサポートするJWE暗号化アルゴリズム(enc値)のリストを含むJSON配列。

userinfo_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。UserInfoエンドポイントがクレームをJWT [JWT]でエンコードするためにサポートするJWS [JWS]署名アルゴリズム(alg値)[JWA]のリストを含むJSON配列。値noneが含まれてもよい。

userinfo_encryption_alg_values_supported
Array of strings
Items Enum: "RSA1_5" "A128KW"

オプション。UserInfoエンドポイントがクレームをJWT [JWT]でエンコードするためにサポートするJWE [JWE]暗号化アルゴリズム(alg値)[JWA]のリストを含むJSON配列。

userinfo_encryption_enc_values_supported
Array of strings
Items Enum: "A128CBC-HS256" "A128GCM" "A256GCM"

オプション。UserInfoエンドポイントがクレームをJWT [JWT]でエンコードするためにサポートするJWE暗号化アルゴリズム(enc値)[JWA]のリストを含むJSON配列。

request_object_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。OpenID Connect Core 1.0 [OpenID.Core]のセクション6.1で説明されているリクエストオブジェクトに対してOPがサポートするJWS署名アルゴリズム(alg値)のリストを含むJSON配列。これらのアルゴリズムは、リクエストオブジェクトが値で渡される場合(requestパラメータ使用)と参照で渡される場合(request_uriパラメータ使用)の両方で使用される。サーバーはnoneとRS256をサポートすべきである。

request_object_encryption_alg_values_supported
Array of strings
Items Enum: "RSA1_5" "A128KW"

オプション。リクエストオブジェクトに対してOPがサポートするJWE暗号化アルゴリズム(alg値)のリストを含むJSON配列。これらのアルゴリズムは、リクエストオブジェクトが値で渡される場合と参照で渡される場合の両方で使用される。

request_object_encryption_enc_values_supported
Array of strings
Items Enum: "A128CBC-HS256" "A128GCM" "A256GCM"

オプション。リクエストオブジェクトに対してOPがサポートするJWE暗号化アルゴリズム(enc値)のリストを含むJSON配列。これらのアルゴリズムは、リクエストオブジェクトが値で渡される場合と参照で渡される場合の両方で使用される。

token_endpoint_auth_methods_supported
Array of strings
Items Enum: "client_secret_post" "client_secret_basic" "client_secret_jwt" "private_key_jwt" "tls_client_auth" "self_signed_tls_client_auth" "none"

オプション。このトークンエンドポイントがサポートするクライアント認証方法のリストを含むJSON配列。オプションはclient_secret_post、client_secret_basic、client_secret_jwt、およびprivate_key_jwtで、OpenID Connect Core 1.0のセクション9で説明されている。他の認証方法は拡張によって定義される場合がある。省略された場合、デフォルトはclient_secret_basic(OAuth 2.0 [RFC6749]のセクション2.3.1で指定されているHTTP基本認証スキーム)である。

token_endpoint_auth_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。private_key_jwtおよびclient_secret_jwt認証方法において、トークンエンドポイントでクライアントを認証するために使用されるJWT [JWT]の署名に対してトークンエンドポイントがサポートするJWS署名アルゴリズム(alg値)のリストを含むJSON配列。サーバーはRS256をサポートすべきである。値noneは使用してはならない。

display_values_supported
Array of strings
Items Enum: "page" "popup"

オプション。OpenIDプロバイダーがサポートするdisplayパラメータ値のリストを含むJSON配列。これらの値はOpenID Connect Core 1.0 [OpenID.Core]のセクション3.1.2.1で説明されている。

claim_types_supported
Array of strings
Items Value: "normal"

オプション。OpenIDプロバイダーがサポートするクレームタイプのリストを含むJSON配列。これらのクレームタイプはOpenID Connect Core 1.0 [OpenID.Core]のセクション5.6で説明されている。この仕様で定義されている値はnormal、aggregated、distributedである。省略された場合、実装はnormalクレームのみをサポートする。

claims_supported
Array of strings
Default: ["sub","iss","auth_time","acr","name","given_name","family_name","nickname","profile","picture","website","email","email_verified","locale","zoneinfo","birthdate","gender","preferred_username","middle_name","updated_at","address","phone_number","phone_number_verified"]

推奨。OpenIDプロバイダーが値を提供できる可能性のあるクレームのクレーム名のリストを含むJSON配列。プライバシーやその他の理由により、これは完全なリストではない可能性があることに注意。

service_documentation
string <uri>

オプション。OpenIDプロバイダーを使用する際に開発者が知りたいまたは知る必要がある可能性のある人間が読める情報を含むページのURL。特に、OpenIDプロバイダーが動的クライアント登録をサポートしない場合、クライアントの登録方法に関する情報をこのドキュメントに提供する必要がある。

claims_locales_supported
Array of strings

オプション。返されるクレームの値にサポートされている言語とスクリプト。BCP47 [RFC5646]言語タグ値のJSON配列で表現される。すべてのクレーム値に対してすべての言語とスクリプトが必ずしもサポートされるわけではない。

ui_locales_supported
Array of strings

オプション。ユーザーインターフェースにサポートされている言語とスクリプト。BCP47 [RFC5646]言語タグ値のJSON配列で表現される。

claims_parameter_supported
boolean
Default: true

オプション。OPがclaimsパラメータの使用をサポートするかどうかを指定するブール値。trueはサポートを示す。省略された場合、デフォルト値はfalseである。

request_parameter_supported
boolean
Default: false

オプション。OPがrequestパラメータの使用をサポートするかどうかを指定するブール値。trueはサポートを示す。省略された場合、デフォルト値はfalseである。

request_uri_parameter_supported
boolean
Default: false

オプション。OPがrequest_uriパラメータの使用をサポートするかどうかを指定するブール値。trueはサポートを示す。省略された場合、デフォルト値はtrueである。

require_request_uri_registration
boolean
Default: false

オプション。OPが使用されるrequest_uri値をrequest_uris登録パラメータを使用して事前登録することを要求するかどうかを指定するブール値。値がtrueの場合、事前登録が必須である。省略された場合、デフォルト値はfalseである。

op_policy_uri
string <uri>

オプション。OpenIDプロバイダーがクライアントを登録する人に対して、Relying PartyがOPから提供されたデータをどのように使用できるかにOPの要件を読むために提供するURL。提供された場合、登録プロセスはクライアントを登録する人にこのURLを表示すべきである。

op_tos_uri
string <uri>

オプション。OpenIDプロバイダーがクライアントを登録する人に対して、OpenIDプロバイダーのサービス規約を読むために提供するURL。提供された場合、登録プロセスはクライアントを登録する人にこのURLを表示すべきである。

revocation_endpoint
string <uri>

オプション。リボケーションエンドポイントのURL。

revocation_endpoint_auth_methods_supported
Array of strings
Items Enum: "client_secret_post" "client_secret_basic" "client_secret_jwt" "private_key_jwt" "tls_client_auth" "self_signed_tls_client_auth"

オプション。リボケーションエンドポイントでサポートされる認証方法。

revocation_endpoint_auth_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。リボケーションエンドポイントでサポートされる署名アルゴリズム。

introspection_endpoint
string <uri>

オプション。イントロスペクションエンドポイントのURL。

introspection_endpoint_auth_methods_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。イントロスペクションエンドポイントでサポートされる認証方法。

introspection_endpoint_auth_signing_alg_values_supported
Array of strings
Items Enum: "none" "RS256" "ES256" "HS256"

オプション。イントロスペクションエンドポイントでサポートされる署名アルゴリズム。

code_challenge_methods_supported
Array of strings
Items Enum: "plain" "S256"

オプション。サポートされるPKCEコードチャレンジ方法。

object

認証サーバー動作のための拡張設定パラメータ。

Responses

Request samples

Content type
application/json
{
  • "issuer": "http://example.com",
  • "authorization_endpoint": "http://example.com",
  • "token_endpoint": "http://example.com",
  • "userinfo_endpoint": "http://example.com",
  • "jwk": "string",
  • "jwks_uri": "http://example.com",
  • "registration_endpoint": "http://example.com",
  • "scopes_supported": [
    ],
  • "response_types_supported": [
    ],
  • "response_modes_supported": [
    ],
  • "grant_types_supported": [
    ],
  • "acr_values_supported": [
    ],
  • "subject_types_supported": [
    ],
  • "id_token_signing_alg_values_supported": [
    ],
  • "id_token_encryption_alg_values_supported": [
    ],
  • "id_token_encryption_enc_values_supported": [
    ],
  • "userinfo_signing_alg_values_supported": [
    ],
  • "userinfo_encryption_alg_values_supported": [
    ],
  • "userinfo_encryption_enc_values_supported": [
    ],
  • "request_object_signing_alg_values_supported": [
    ],
  • "request_object_encryption_alg_values_supported": [
    ],
  • "request_object_encryption_enc_values_supported": [
    ],
  • "token_endpoint_auth_methods_supported": [
    ],
  • "token_endpoint_auth_signing_alg_values_supported": [
    ],
  • "display_values_supported": [
    ],
  • "claim_types_supported": [
    ],
  • "claims_supported": [
    ],
  • "service_documentation": "http://example.com",
  • "claims_locales_supported": [
    ],
  • "ui_locales_supported": [
    ],
  • "claims_parameter_supported": true,
  • "request_parameter_supported": false,
  • "request_uri_parameter_supported": false,
  • "require_request_uri_registration": false,
  • "op_policy_uri": "http://example.com",
  • "op_tos_uri": "http://example.com",
  • "revocation_endpoint": "http://example.com",
  • "revocation_endpoint_auth_methods_supported": [
    ],
  • "revocation_endpoint_auth_signing_alg_values_supported": [
    ],
  • "introspection_endpoint": "http://example.com",
  • "introspection_endpoint_auth_methods_supported": [
    ],
  • "introspection_endpoint_auth_signing_alg_values_supported": [
    ],
  • "code_challenge_methods_supported": [
    ],
  • "extension": {
    }
}

Response samples

Content type
application/json
{
  • "dry_run": true,
  • "result": {
    }
}