メインコンテンツまでスキップ

ユーザー管理

Logto Console で管理する

ユーザーの閲覧と検索

Logto Console でユーザー管理機能にアクセスするには、Console > ユーザー管理 に移動します。そこでは、すべてのユーザーのテーブルビューが表示されます。

テーブルは 3 列で構成されています:

  • ユーザー:ユーザーのアバター、氏名、ユーザー名、電話番号、メールアドレスなどの情報を表示します
  • アプリケーションから:ユーザーが最初に登録したアプリケーション名を表示します
  • 最新のサインイン:ユーザーの最新サインインのタイムスタンプを表示します。

nameidusernameprimary-phoneprimary-email のキーワードマッピングに対応しています。

ユーザーの追加

Console を使用して、開発者はエンドユーザーの新しいアカウントを作成できます。画面右上の「ユーザー追加」ボタンをクリックしてください。

Logto Console または Management API でユーザーを作成する場合(UI からのエンドユーザー自己登録ではない)、少なくとも 1 つの識別子(primary emailprimary phone、または username)を指定する必要があります。name フィールドは任意です。

ユーザー作成後、Logto は自動的にランダムなパスワードを生成します。初期パスワードは一度だけ表示されますが、後で パスワードをリセット できます。特定のパスワードを設定したい場合は、Management API の patch /api/users/{userId}/password を使ってユーザー作成後に更新してください。

入力した識別子(メールアドレス / 電話番号 / ユーザー名)初期パスワード をワンクリックでコピーできるため、これらの認証情報を新しいユーザーと簡単に共有し、サインインして利用を開始できます。

ヒント:

招待制登録を実装したい場合は、マジックリンクでユーザーを招待 する方法を推奨します。これにより、ホワイトリストに登録されたユーザーのみが自己登録し、自分でパスワードを設定できます。

ユーザープロフィールの閲覧と更新

ユーザーの詳細を表示するには、ユーザーテーブルの該当行をクリックしてください。「ユーザー詳細」ページに移動し、ユーザープロフィール情報を確認できます。内容は以下の通りです:

  • 認証 (Authentication) 関連データ
    • メールアドレスprimary_email):編集可能
    • 電話番号primary_phone):編集可能
    • ユーザー名username):編集可能
    • パスワードhas_password):ランダムパスワードを再生成できます。「ユーザーパスワードのリセット」を参照してください。
    • 多要素認証 (MFA)mfa_verification_factor):このユーザーが設定したすべての認証要素(パスキー、認証アプリ、バックアップコードなど)を表示できます。要素は Console で削除可能です。
    • パスキー:テナントで パスキーサインイン が有効な場合、ユーザー詳細ページでサインイン用パスキーを表示・削除できます。これらのパスキーは MFA と同じ WebAuthn 資格情報モデルで管理されます。
    • パーソナルアクセストークンパーソナルアクセストークン の作成、表示、名前変更、削除ができます。
  • 接続
    • ソーシャル接続identities):
      • ユーザーが連携したソーシャルアカウント(ソーシャル ID やプロバイダから同期されたプロフィール情報)を表示できます(例:Facebook でサインインした場合は「Facebook」エントリが表示されます)。
      • 既存のソーシャル ID は削除できますが、ユーザーの代わりに新しいソーシャルアカウントを連携することはできません。
      • トークン保存 が有効なソーシャルコネクターの場合、接続詳細ページでアクセス トークン (Access token) やリフレッシュ トークン (Refresh token) を表示・管理できます。
    • エンタープライズ SSO 接続sso_identities):
      • ユーザーが連携したエンタープライズ ID やプロバイダから同期されたプロフィール情報を表示できます。
      • Console でエンタープライズ SSO ID の追加・削除はできません。
      • OIDC ベースのエンタープライズコネクターで トークン保存 が有効な場合、接続詳細ページでトークンの表示・削除ができます。
  • ユーザープロフィールデータ:名前、アバター URL、カスタムデータ、その他 OpenID Connect 標準クレーム(未含分)。これらのプロフィール項目はすべて編集可能です。
  • セッション:ユーザーのアクティブセッション一覧を表示します。デバイス情報、sessionId、GEO ロケーション(該当する場合)も確認できます。セッションの詳細を表示したり、セッション詳細ページでセッションを取り消すことも可能です。
警告:

ソーシャル接続を削除する前に、他のサインイン方法(別のソーシャル接続、電話番号、メールアドレス、ユーザー名+パスワードなど)があることを必ず確認してください。他のサインイン方法がない場合、ソーシャル接続を削除するとアカウントに再度アクセスできなくなります。

ユーザーアクティビティの閲覧

ユーザーの最近のアクティビティを確認するには、「ユーザー詳細」ページの「ユーザーログ」サブタブに移動します。ここでは、ユーザーが行った操作、結果、関連アプリケーション、操作時刻などがテーブルで表示されます。

テーブル行をクリックすると、ユーザーログの詳細(IP アドレス、ユーザーエージェント、生データなど)を確認できます。

ユーザーの一時停止

「ユーザー詳細」ページで「三点リーダー」→「ユーザーを一時停止」ボタンをクリックします。

ユーザーが一時停止されると、アプリにサインインできなくなり、現在のアクセス トークン (Access token) の有効期限が切れた後は新しいトークンを取得できません。また、このユーザーによる API リクエストも失敗します。

このユーザーを再度有効化したい場合は、「三点リーダー」→「ユーザーを再有効化」ボタンをクリックしてください。

ユーザーの削除

「ユーザー詳細」ページで「三点リーダー」→「削除」ボタンをクリックします。ユーザーの削除は元に戻せません。

ユーザーパスワードのリセット

「ユーザー詳細」ページで「三点リーダー」→「パスワードをリセット」ボタンをクリックすると、Logto が自動的にランダムなパスワードを再生成します。

パスワードをリセットした後、エンドユーザーにコピーして送信してください。「パスワードリセット」モーダルを閉じるとパスワードは再表示できません。控え忘れた場合は再度リセットできます。

Logto Console でユーザーの特定パスワードを設定することはできませんが、Management APIPATCH /api/users/{userId}/password を使って指定できます。

ユーザーのアクティブセッション管理

「ユーザー詳細」ページで、特定セッションの「管理」ボタンをクリックして「セッション詳細」ページに移動します。ここでは、デバイス、場所、ログイン時刻などセッションの詳細情報を確認できます。このセッションからユーザーをログアウトさせたい場合は、右上の「セッションを取り消す」ボタンをクリックすると、即座にセッションが取り消されます。

  • デフォルトでは、Console でセッションを取り消すと、そのセッションに関連するすべてのファーストパーティアプリのグラントも取り消され、ユーザーは再度サインインが必要になります。事前発行された不透明トークン (Opaque token) やリフレッシュ トークン (Refresh token) も即時取り消されます。
  • offline_access スコープを持つサードパーティアプリの場合、セッションの取り消しはデフォルトでアプリグラントを取り消しません。事前発行されたリフレッシュ トークン (Refresh token) はグラントの有効期限まで利用可能です。

パスワードコンプライアンスチェック

Logto で パスワードポリシー を更新した後も、既存ユーザーは現在のパスワードでサインインできます。新規作成アカウントのみが更新後のパスワードポリシーに従う必要があります。

より強力なセキュリティを強制するには、POST /api/sign-in-exp/default/check-password API を使って、ユーザーのパスワードがデフォルトサインイン体験で定義された現在のポリシーに準拠しているか確認できます。準拠していない場合は、Account API を使ったカスタムフローでパスワード更新を促すことができます。

ユーザーのロール管理

ユーザー詳細ページの「ロール」タブで、ロールの割り当てや削除が簡単にできます。詳細は ロールベースのアクセス制御 (RBAC) を参照してください。

ユーザーが所属する組織の確認

Logto は 組織 をサポートしており、そのメンバー管理が可能です。ユーザー詳細を簡単に確認し、どの組織に所属しているかを把握できます。

Logto Management API で管理する

Management API は、Logto バックエンドサービスへのアクセスを提供する API 群です。前述の通り、ユーザー API はこのサービスの重要なコンポーネントであり、幅広いシナリオに対応できます。

ユーザー関連の RESTful API は /api/users にマウントされています(ユーザーアクティビティ、すなわちユーザーログ /api/logs?userId=:userId を除く)。

Management API を通じて、高度なユーザー検索一括アカウント作成招待制サインアップ など、さまざまな用途でユーザー管理が可能です。

よくある質問

特定ユーザーの特定アプリケーションへのアクセスを制限するには?

Logto の Omni-sign-in の特性上、認証 (Authentication) 前に特定アプリケーションへのユーザーアクセスを制限する設計にはなっていません。 ただし、アプリケーション固有のユーザーロールや権限を設計し、API リソースを保護することは可能です。ユーザーのサインイン成功後に API アクセス時に権限を検証してください。 詳細は認可 (Authorization):ロールベースのアクセス制御 (RBAC) を参照してください。