ユーザー管理
Logto Console で管理する
ユーザーの閲覧と検索
Logto Console でユーザー管理機能にアクセスするには、Console > ユーザー管理 に移動します。そこでは、すべてのユーザーのテーブルビューが表示されます。
テーブルは 3 列で構成されています:
- ユーザー:ユーザーのアバター、氏名、ユーザー名、電話番号、メールアドレスなどの情報を表示します
- アプリケーションから:ユーザーが最初に登録したアプリケーション名を表示します
- 最新のサインイン:ユーザーの最新サインインのタイムスタンプを表示します。
name、id、username、primary-phone、primary-email のキーワードマッピングをサポートしています。
ユーザーの追加
Console を使用して、開発者はエンドユーザーの新しいアカウントを作成できます。画面右上の「ユーザー追加」ボタンをクリックしてください。
Logto Console または Management API でユーザーを作成する場合(エンドユーザーが UI から自己登録する場合を除く)、少なくとも 1 つの識別子(primary email、primary phone、または username)を指定する必要があります。name フィールドは任意です。
ユーザー作成後、Logto は自動的にランダムなパスワードを生成します。初期パスワードは一度だけ表示されますが、後から パスワードをリセット できます。特定のパスワードを設定したい場合は、Management API の patch /api/users/{userId}/password を使ってユーザー作成後に更新してください。
入力した識別子(メールアドレス / 電話番号 / ユーザー名) と 初期パスワード はワンクリックでコピーでき、新しいユーザーにこれらの認証情報を簡単に共有してサインインを開始できます。
招待制登録を実装したい場合は、マジックリンクでユーザーを招待 する方法を推奨します。これにより、ホワイトリストに登録されたユーザーのみが自己登録し、自分でパスワードを設定できます。
ユーザープロフィールの閲覧と更新
ユーザーの詳細を表示するには、ユーザーテーブルの該当行をクリックしてください。「ユーザー詳細」ページに移動し、ユーザーのプロフィール情報を確認できます。内容は以下の通りです:
- 認証 (Authentication) 関連データ:
- メールアドレス(primary_email):編集可能
- 電話番号(primary_phone):編集可能
- ユーザー名(username):編集可能
- パスワード(has_password):ランダムパスワードを再生成できます。「ユーザーパスワードのリセット」を参照してください。
- 多要素認証 (MFA)(mfa_verification_factor):このユーザーが設定したすべての認証要素(パスキー、認証アプリ、バックアップコードなど)を表示できます。要素は Console で削除可能です。
- パスキー:パスキーサインイン がテナントで有効な場合、ユーザー詳細ページでサインイン用パスキーを表示・削除できます。これらのパスキーは MFA と同じ WebAuthn 資格情報モデルで管理されます。
- パーソナルアクセストークン:パーソナルアクセストークン の作成、表示、名前変更、削除ができます。
- 接続:
- ソーシャル接続(identities):
- ユーザーが連携したソーシャルアカウント(ソーシャル ID やプロバイダから同期されたプロフィール情報)を表示します(例:Facebook でサインインした場合は「Facebook」エントリが表示されます)。
- 既存のソーシャル ID は削除できますが、ユーザーの代わりに新しいソーシャルアカウントを連携することはできません。
- トークン保存 が有効なソーシャルコネクターの場合、接続詳細ページでアクセス トークン (Access token) やリフレッシュ トークン (Refresh token) を表示・管理できます。
- エンタープライズ SSO 接続(sso_identities):
- ユーザーが連携したエンタープライズ ID やプロバイダから同期されたプロフィール情報を表示します。
- Console でエンタープライズ SSO ID の追加・削除はできません。
- OIDC ベースのエンタープライズコネクターで トークン保存 が有効な場合、接続詳細ページでトークンの表示・削除ができます。
- ソーシャル接続(identities):
- ユーザープロフィールデータ:名前、アバター URL、カスタムデータ、その他 OpenID Connect 標準クレーム (Claim)(未含分)。これらのプロフィール項目はすべて編集可能です。
- セッション:ユーザーのアクティブセッション一覧を表示します。デバイス情報、sessionId、GEO ロケーション(該当する場合)も確認できます。セッションの詳細表示やセッション詳細ページでの失効も可能です。
ソーシャル接続を削除する前に、他のサインイン方法(別のソーシャル接続、電話番号、メールアドレス、ユーザー名+パスワードなど)があることを必ず確認してください。もし他のサインイン方法がない場合、ソーシャル接続を削除するとアカウントに再度アクセスできなくなります。
ユーザーアクティビティの閲覧
ユーザーの最近のアクティビティを確認するには、「ユーザー詳細」ページの「ユーザーログ」サブタブに移動します。ここでは、ユーザーが実行したアクション、結果、関連アプリケーション、実行時刻などがテーブルで表示されます。
テーブル行をクリックすると、IP アドレス、ユーザーエージェント、生データなど、ユーザーログの詳細を確認できます。
ユーザーの一時停止
「ユーザー詳細」ページで「三点リーダー」→「ユーザーを一時停止」ボタンをクリックします。
ユーザーが一時停止されると、そのユーザーはアプリにサインインできなくなり、現在のアクセス トークン (Access token) の有効期限後は新しいトークンを取得できません。また、このユーザーによる API リクエストもすべて失敗します。
ユーザーを再有効化したい場合は、「三点リーダー」→「ユーザーを再有効化」ボタンをクリックしてください。
ユーザーの削除
「ユーザー詳細」ページで「三点リーダー」→「削除」ボタンをクリックします。ユーザーの削除は元に戻せません。
ユーザーパスワードのリセット
「ユーザー詳細」ページで「三点リーダー」→「パスワードをリセット」ボタンをクリックすると、Logto が自動的にランダムなパスワードを再生成します。
パスワードをリセットした後は、コピーしてエンドユーザーに送信してください。「パスワードをリセット」モーダルを閉じるとパスワードは再表示できません。控え忘れた場合は再度リセットしてください。
Logto Console でユーザーに特定のパスワードを設定することはできませんが、Management API の PATCH /api/users/{userId}/password を使って指定できます。
ユーザーのアクティブセッション管理
「ユーザー詳細」ページで、特定のセッションの「管理」ボタンをクリックして「セッション詳細」ページに移動します。ここでは、デバイス、場所、ログイン時刻などセッションの詳細情報を確認できます。このセッションからユーザーをログアウトさせたい場合は、右上の「セッションを失効」ボタンをクリックしてください。即座にセッションが失効します。
- デフォルトでは、Console でセッションを失効させると、そのセッションに関連するすべてのファーストパーティアプリのグラントも失効し、ユーザーは再度サインインが必要になります。事前発行された不透明アクセス トークン (Opaque token) やリフレッシュ トークン (Refresh token) も即座に失効します。
offline_accessスコープを持つサードパーティアプリの場合、セッションの失効はデフォルトでアプリグラントを失効しません。事前発行されたリフレッシュ トークン (Refresh token) は、グラントの有効期限、リフレッシュ トークン (Refresh token) の有効期限、または明示的な失効のいずれか早い方まで利用可能です。
ユーザーが認可したサードパーティアプリの管理
「ユーザー詳細」ページの「認可済みサードパーティアプリ」セクションで、ユーザーのアプリ認可状況を確認できます。 このセクションはユーザー認可アプリ(グラント)管理 API によってサポートされています。
各認可済みアプリについて、Console では以下を表示します:
- アプリ名
- アプリ ID
- アクセス作成時刻
アクセスを削除したい場合は、失効アクションをクリックし、モーダルで確認してください。
アプリ認可の失効により、そのアプリに関連するすべてのアクティブなサードパーティグラントが削除されます。また、そのアプリの不透明アクセス トークン (Opaque token) やリフレッシュ トークン (Refresh token) も即座に失効します。
パスワードコンプライアンスチェック
Logto で パスワードポリシー を更新した後も、既存ユーザーは現在のパスワードでサインインできます。新規作成アカウントのみが更新後のパスワードポリシーに従う必要があります。
より強力なセキュリティを強制するには、POST /api/sign-in-exp/default/check-password API を使って、ユーザーのパスワードがデフォルトサインイン体験で定義された現在のポリシーを満たしているか確認できます。満たしていない場合は、Account API を使ったカスタムフローでパスワード更新を促すことができます。
ユーザーのロール管理
ユーザー詳細ページの「ロール」タブで、ロールの割り当てや削除が簡単に行えます。詳細は ロールベースのアクセス制御 (RBAC) を参照してください。
ユーザーが所属する組織の表示
Logto は 組織 をサポートしており、そのメンバー管理が可能です。ユーザー詳細を簡単に確認し、どの組織に所属しているかを確認できます。
Logto Management API で管理する
Management API は、Logto バックエンドサービスへのアクセスを提供する API 群です。前述の通り、ユーザー API はこのサービスの重要なコンポーネントであり、さまざまなシナリオをサポートします。
ユーザー関連の RESTful API は /api/users にマウントされています(ユーザーアクティビティ、すなわちユーザーログ /api/logs?userId=:userId を除く)。
Management API を通じて、高度なユーザー検索、一括アカウント作成、招待制サインアップ など、さまざまな用途でユーザーを管理できます。
よくある質問
特定のユーザーに対して特定のアプリケーションへのアクセスを制限するには?
Logto の Omni-sign-in の性質上、認証 (Authentication) 前にユーザーの特定アプリケーションへのアクセスを制限する設計にはなっていません。 ただし、アプリケーション固有のユーザーロールや権限を設計し、API リソースを保護することは可能です。ユーザーがサインインに成功した後、API アクセス時に権限を検証してください。 詳細は認可 (Authorization):ロールベースのアクセス制御 (RBAC) を参照してください。