Table of Contents
Authlete におけるアクセス制御は、以下の 3 つの権限で実装されています。
組織
サービス
クライアント
各権限は、以下の 2 つのアクセスレベルをサポートしています。
Admin (管理者)
Viewer (閲覧者)
権限は自動的な継承は行われず、最小権限の原則に基づくアクセス制御を可能にしています。
組織全体の設定を管理します。
以下の操作を実行できます。
組織設定の管理
ユーザーの招待、管理、および権限の割り当て
組織レベルの設定管理用アクセストークンの生成
サービスのインポート/移行操作の実行
組織全体の監査ログの閲覧
不可逆的な管理操作の実行 (例:組織の削除)
組織 Viewer は以下の操作を実行できます。
組織情報 (組織名、組織 ID、プラン)の閲覧
組織設定を読み取り専用として閲覧
組織 Viewer は以下の操作を実行できません。
組織設定の変更
ユーザーまたは権限の管理
組織レベルの設定管理用アクセストークンの生成
インポート、移行、または破壊的な操作の実行
監査ログへのアクセス
OAuth / OpenID Connect 認可サービスの設定を管理します。
サービス Admin は以下の操作を実行できます。
OAuth/OIDC エンドポイントと認可フローの設定
グラント・タイプ、レスポンス・タイプ、およびトークンの管理
暗号化およびセキュリティ機能 (PKCE、mTLS、FAPI、CIBA など)の設定
フェデレーション、動的クライアント登録、および高度なプロトコル機能の管理
サービスレベルの設定管理用アクセストークンの生成
サービスの削除
これらの権限は、認可サーバーでの認証および認可の動作に直接影響を与えます。
サービス Viewer は以下の操作を実行できます。
サービス Viewer は以下の操作を実行できません。
エンドポイントまたはプロトコルの動作の変更
サービスレベルの設定管理用アクセストークンの生成
セキュリティ機能の有効化または無効化
サービスの削除
OAuth / OpenID Connect クライアントアプリケーションの設定を管理します。
クライアント Admin は以下の操作を実行できます。
クライアントの作成、変更、ローテーション、および削除
クライアント資格情報、リダイレクト URI、およびクライアント固有の設定の管理
クライアント Viewer は以下の操作を実行できます。
クライアント Viewer は以下の操作を実行できません。
クライアント設定の変更
シークレットのローテーション
クライアントの削除
| 権限 | Admin 機能 | Viewer 機能 |
|---|---|---|
| 組織 | 組織設定の管理、ユーザー管理、監査ログ閲覧 | 組織設定の閲覧 |
| サービス | サービス設定の管理 | サービス設定の閲覧 |
| クライアント | クライアント設定の管理 | クライアント設定の閲覧 |
