メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0-fix-auth-api-docs-migration-completion.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

POST /oauth/token カスタムトークン交換(CTE)は、アプリケーションが /oauth/token エンドポイントを呼び出すことで既存のアイデンティティトークンを Auth0 トークンと交換するメカニズムを提供します。RFC 8693 の仕様に準拠しています。この機能は、既存の Auth0 トークンを同じユーザーの別のオーディエンスにアクセスするために交換する、外部 ID プロバイダーの統合を容易にする、または Auth0 プラットフォームへのシームレスなユーザー移行を有効にするなど、高度な統合要件に対応するために不可欠です。交換プロセスは完全に管理可能で、開発者は関連する Auth0 アクションで実行されるカスタムロジックを使用してその詳細を制御できます。
カスタムトークン交換は現在アーリーアクセス中です。この機能を使用することにより、Okta マスターサブスクリプション契約の適用される無料試用版条件に同意するものとします。ユーザーの subject_token を安全に検証することはお客様の責任です。詳細については、ユーザーガイドを参照してください。

備考

  • アプリケーションに発行されたスコープは、要求されるスコープとは異なる場合があります。この場合、scope パラメーターが応答 JSON に含まれます。スコープは、アプリケーションの API アクセスポリシーで説明されているようにフィルタリングされます。
  • subject_token_type は、既存のカスタムトークン交換プロフィールと関連するアクションに対応している必要があります。
  • クライアントシークレットを安全に保つことができない非機密アプリケーション(ネイティブアプリなど)の場合、エンドポイントはクライアントシークレットを渡さないことをサポートしていますが、アプリケーション自体は tokenEndpointAuthMethod プロパティを none に設定する必要があります。これは UI (ダッシュボード > アプリケーション > アプリケーション設定) から、または管理 API を使用して実行できます。
  • アプリケーションのカスタムトークン交換を有効にする必要があります。詳細については、カスタムトークン交換ドキュメントを参照してください。

Parameters

DPoP
string
リクエストの DPoP 証明。これはオプションであり、アプリケーションが Proof-of-Possession の実証を使用している場合にのみ必要です。
auth0-forwarded-for
string
エンドユーザーの IP を文字列値として指定します。サーバー側のシナリオで疑わしい IP スロットリング保護を機能させたい場合は、これを設定してください。

Request Body

grant_type
string
必須
使用するフローを示します。カスタムトークン交換の場合は、urn:ietf:params:oauth:grant-type:token-exchange を使用します。許可される値: urn:ietf:params:oauth:grant-type:token-exchange
subject_token_type
string
必須
サブジェクトトークンの種類です。カスタムトークン交換の場合、これは http://acme.com/legacy-tokenurn:acme:legacy-token など、ユーザー独自の所有権の下にスコープされた任意の URI です。次の名前空間は予約されており、使用できません: http://auth0.comhttps://auth0.comhttp://okta.comhttps://okta.comurn:ietfurn:auth0urn:okta
subject_token
string
必須
サブジェクトトークン。アクションはこれを検証して、ユーザーを特定するために使用する必要があります。
client_id
string
必須
アプリケーションのクライアント ID です。他のグrant タイプと同様に、HTTP Basic Auth を使用して Authorization ヘッダーでクライアント ID を渡すこともできます。
client_secret
string
(オプション)アプリケーションのクライアントシークレットです。他のグrant タイプと同様に、HTTP Basic Auth を使用して Authorization ヘッダーでクライアントシークレットを渡すこともできます。他の代替案もAuth0 認証 API リファレンスドキュメントで説明されています。カスタムトークン交換はパブリックアプリケーションで使用できるため、攻撃保護を読んで追加のセキュリティを実装してください。
audience
string
(オプション)アクセスしたいターゲット API の一意の識別子です。存在しない場合、テナント設定で設定されているデフォルトのテナントオーディエンスが使用されます。
resource
string
(オプション)アクセスしたいターゲット API(リソースサーバー)の識別子です。Auth0 テナントに登録されている API 識別子と一致する必要があります。テナントのリソースパラメータ互換性プロフィールcompatibility に設定されている場合、audience の代わりとして使用されます。
scope
string
(オプション)OAuth2 スコープパラメーター。
organization
string
(オプション)リクエストを関連付けたい組織または識別子です。または、認証 API で組織名を使用するが指定されている場合は、組織名を指定することもできます。

Response

StatusDescription
200成功レスポンス