ユーザー管理
Logto Console で管理する
ユーザーの閲覧と検索
Logto Console でユーザー管理機能にアクセスするには、コンソール > ユーザー管理 に移動します。そこでは、すべてのユーザーのテーブルビューが表示されます。
テーブルは 3 列で構成されています:
- ユーザー:アバター、氏名、ユーザー名、電話番号、メールアドレスなど、ユーザーに関する情報を表示します
- アプリケーションから:ユーザーが最初に登録したアプリケーション名を表示します
- 最新のサインイン:ユーザーの最新サインインのタイムスタンプを表示します。
キーワードマッピングは、name、id、username、primary-phone、primary-email に対応しています。
ユーザーの追加
Console を使用して、開発者はエンドユーザーの新しいアカウントを作成できます。画面右上の「ユーザー追加」ボタンをクリックしてください。
Logto Console または Management API でユーザーを作成する場合(UI からのエンドユーザー自身による登録ではない場合)、少なくとも 1 つの識別子(primary email、primary phone、または username)を指定する必要があります。name フィールドは任意です。
ユーザー作成後、Logto は自動的にランダムなパスワードを生成します。初期パスワードは一度だけ表示されますが、後から パスワードをリセット できます。特定のパスワードを設定したい場合は、Management API の patch /api/users/{userId}/password を使ってユーザー作成後に更新してください。
入力した識別子(メールアドレス / 電話番号 / ユーザー名) と 初期パスワード はワンクリックでコピーでき、新しいユーザーにこれらの認証情報を簡単に共有してサインインを開始できます。
招待制登録を実装したい場合は、マジックリンクでユーザーを招待 する方法を推奨します。これにより、ホワイトリストに登録されたユーザーのみが自己登録し、自分でパスワードを設定できます。
ユーザープロファイルの閲覧と更新
ユーザーの詳細を表示するには、ユーザーテーブルの該当行をクリックしてください。「ユーザー詳細」ページに移動し、ユーザーのプロファイル情報を確認できます。内容は以下の通りです:
- 認証 (Authentication) 関連データ:
- メールアドレス(primary_email):編集可能
- 電話番号(primary_phone):編集可能
- ユーザー名(username):編集可能
- パスワード(has_password):ランダムパスワードを再生成できます。「ユーザーパスワードのリセット」を参照してください。
- 多要素認証 (MFA)(mfa_verification_factor):このユーザーが設定したすべての認証要素(パスキー、認証アプリ、バックアップコードなど)を表示できます。要素は Console で削除可能です。
- パーソナルアクセストークン:パーソナルアクセストークン の作成、表示、名前変更、削除ができます。
- 接続:
- ソーシャル接続(identities):
- ユーザーが連携しているソーシャルアカウント(ソーシャル ID やプロファイル情報)を表示します(例:Facebook でサインインした場合は「Facebook」エントリが表示されます)。
- 既存のソーシャル ID は削除できますが、ユーザーの代わりに新しいソーシャルアカウントを連携することはできません。
- トークン保存 が有効なソーシャルコネクターの場合、接続詳細ページでアクセス トークンおよびリフレッシュ トークンを表示・管理できます。
- エンタープライズ SSO 接続(sso_identities):
- ユーザーが連携しているエンタープライズ ID やプロファイル情報を表示します。
- Console でエンタープライズ SSO ID の追加や削除はできません。
- OIDC ベースのエンタープライズコネクターで トークン保存 が有効な場合、接続詳細ページでトークンの表示・削除が可能です。
- ソーシャル接続(identities):
- ユーザープロファイルデータ:名前、アバター URL、カスタムデータ、および追加の OpenID Connect 標準クレーム(未含分)。これらのプロファイル項目はすべて編集可能です。
ソーシャル接続を削除する前に、他のサインイン方法(別のソーシャル接続、電話番号、メールアドレス、ユーザー名+パスワードなど)があることを必ず確認してください。他のサインイン方法がない場合、ソーシャル接続を削除するとアカウントに再度アクセスできなくなります。
ユーザーアクティビティの閲覧
ユーザーの最近のアクティビティを確認するには、「ユーザー詳細」ページの「ユーザーログ」サブタブに移動します。ここでは、ユーザーが行った操作、結果、関連アプリケーション、操作時刻などが表示されます。
テーブル行をクリックすると、ユーザーログの詳細(IP アドレス、ユーザーエージェント、生データなど)を確認できます。
ユーザーの一時停止
「ユーザー詳細」ページで「三点リーダー」→「ユーザーを一時停止」ボタンをクリックします。
ユーザーが一時停止されると、アプリへのサインインができなくなり、現在のアクセス トークンの有効期限が切れた後は新しいアクセス トークンを取得できません。また、このユーザーによる API リクエストも失敗します。
このユーザーを再有効化したい場合は、「三点リーダー」→「ユーザーを再有効化」ボタンをクリックしてください。
ユーザーの削除
「ユーザー詳細」ページで「三点リーダー」→「削除」ボタンをクリックします。ユーザー削除は元に戻せません。
ユーザーパスワードのリセット
「ユーザー詳細」ページで「三点リーダー」→「パスワードをリセット」ボタンをクリックすると、Logto が自動的にランダムなパスワードを再生成します。
パスワードをリセットした後は、そのパスワードをコピーしてエンドユーザーに送信してください。「パスワードをリセット」モーダルを閉じるとパスワードは再表示できません。控え忘れた場合は再度リセットできます。
Logto Console でユーザーに特定のパスワードを設定することはできませんが、Management API の PATCH /api/users/{userId}/password を使って指定できます。
パスワードコンプライアンスチェック
Logto で パスワードポリシー を更新した後も、既存ユーザーは現在のパスワードでサインインできます。新規作成アカウントのみが更新後のパスワードポリシーに従う必要があります。
より強力なセキュリティを強制するには、POST /api/sign-in-exp/default/check-password API を使って、ユーザーのパスワードがデフォルトのサインイン体験で定義された現在のポリシーに適合しているか確認できます。適合していない場合は、Account API を使ったカスタムフローでパスワード更新を促すことができます。
ユーザーのロール管理
ユーザー詳細ページの「ロール」タブで、ロールの割り当てや削除が簡単にできます。詳細は ロールベースのアクセス制御 を参照してください。
ユーザーが所属する組織の確認
Logto は 組織 をサポートしており、そのメンバー管理が可能です。ユーザー詳細から、どの組織に所属しているかを簡単に確認できます。
Logto Management API で管理する
Management API は、Logto バックエンドサービスへのアクセスを提供する API 群です。前述の通り、ユーザー API はこのサービスの重要なコンポーネントであり、さまざまなシナリオに対応できます。
ユーザー関連の RESTful API は /api/users にマウントされています(ユーザーアクティビティ、すなわちユーザーログ /api/logs?userId=:userId を除く)。
Management API を使って、高度なユーザー検索、アカウントの一括作成、招待制サインアップ など、さまざまな用途でユーザー管理が可能です。
よくある質問
特定のユーザーに対して特定のアプリケーションへのアクセスを制限するには?
Logto の Omni-sign-in の特性上、認証 (Authentication) 前に特定のアプリケーションへのユーザーアクセスを制限する設計にはなっていません。 ただし、アプリケーション固有のユーザーロールや権限を設計し、API リソースを保護することは可能です。ユーザーがサインインした後、API アクセス時に権限を検証してください。 詳細は認可 (Authorization):ロールベースのアクセス制御 を参照してください。