新しい友達のために:

Logto は、モダンなアプリや SaaS 製品向けに設計された Auth0 の代替です。 Cloud と オープンソース の両方のサービスを提供し、アイデンティティと管理 (IAM) システムを迅速に立ち上げるのに役立ちます。認証 (Authentication)、認可 (Authorization)、マルチテナント管理を すべて一つに まとめて楽しんでください。

Logto Cloud で無料の開発テナントから始めることをお勧めします。これにより、すべての機能を簡単に探索できます。

この記事では、Vanilla JS と Logto を使用して、DingTalk サインイン体験（ユーザー認証 (Authentication)）を迅速に構築する手順を説明します。

前提条件

• 稼働中の Logto インスタンス。紹介ページ をチェックして始めてください。
• Vanilla JS の基本的な知識。
• 使用可能な DingTalk アカウント。

Logto でアプリケーションを作成する

Logto は OpenID Connect (OIDC) 認証 (Authentication) と OAuth 2.0 認可 (Authorization) に基づいています。これは、複数のアプリケーション間でのフェデレーテッドアイデンティティ管理をサポートし、一般的にシングルサインオン (SSO) と呼ばれます。

あなたの シングルページアプリ アプリケーションを作成するには、次の手順に従ってください：

1. Logto コンソール を開きます。「Get started」セクションで、「View all」リンクをクリックしてアプリケーションフレームワークのリストを開きます。あるいは、Logto Console > Applications に移動し、「Create application」ボタンをクリックします。
2. 開いたモーダルで、左側のクイックフィルターチェックボックスを使用して、利用可能なすべての "シングルページアプリ" フレームワークをフィルタリングするか、"シングルページアプリ" セクションをクリックします。"Vanilla JS" フレームワークカードをクリックして、アプリケーションの作成を開始します。
3. アプリケーション名を入力します。例：「Bookstore」と入力し、「Create application」をクリックします。

🎉 タダーン！Logto で最初のアプリケーションを作成しました。詳細な統合ガイドを含むお祝いページが表示されます。ガイドに従って、アプリケーションでの体験を確認してください。

Vanilla JS SDK を統合する

ヒント:

• vanilla-js SDK は フレームワークに依存しない ため、ラッパーを書いて適合させることで、任意のフロントエンドフレームワークで使用できます。
• サンプルプロジェクトは、私たちの SDK リポジトリ で利用可能です。

インストール

お好きなパッケージマネージャーを選ぶか、CDN を使用して Logto Browser SDK をインストールしてください。

npm

npm i @logto/browser

pnpm

pnpm add @logto/browser

yarn

yarn add @logto/browser

CDN

<!-- jsdelivr に特別な感謝を -->
<script type="module">
  import LogtoClient from 'https://cdn.jsdelivr.net/npm/@logto/[email protected]/+esm';
</script>

LogtoClient の初期化

LogtoClient インスタンスをインポートして、設定を渡して初期化します：

index.js

import LogtoClient from '@logto/browser';

const logtoClient = new LogtoClient({
  endpoint: '<your-logto-endpoint>',
  appId: '<your-application-id>',
});

endpoint と appId は、Logto Console のアプリケーション詳細ページで見つけることができます。

サインインとサインアウトの実装

リダイレクト URI の設定

詳細に入る前に、エンドユーザーの体験について簡単に説明します。サインインプロセスは次のように簡略化できます：

1. あなたのアプリがサインインメソッドを呼び出します。
2. ユーザーは Logto のサインインページにリダイレクトされます。ネイティブアプリの場合、システムブラウザが開かれます。
3. ユーザーがサインインし、あなたのアプリにリダイレクトされます（リダイレクト URI として設定されています）。

リダイレクトベースのサインインについて

1. この認証 (Authentication) プロセスは OpenID Connect (OIDC) プロトコルに従い、Logto はユーザーのサインインを保護するために厳格なセキュリティ対策を講じています。
2. 複数のアプリがある場合、同じアイデンティティプロバイダー (Logto) を使用できます。ユーザーがあるアプリにサインインすると、Logto は別のアプリにアクセスした際に自動的にサインインプロセスを完了します。

リダイレクトベースのサインインの理論と利点について詳しく知るには、Logto サインイン体験の説明を参照してください。

---

注記:

以下のコードスニペットでは、あなたのアプリが http://localhost:3000/ で実行されていると仮定しています。

リダイレクト URI を設定する

Logto Console のアプリケーション詳細ページに移動します。リダイレクト URI http://localhost:3000/callback を追加します。

サインインと同様に、ユーザーは共有セッションからサインアウトするために Logto にリダイレクトされるべきです。完了したら、ユーザーをあなたのウェブサイトに戻すと良いでしょう。例えば、http://localhost:3000/ をサインアウト後のリダイレクト URI セクションとして追加します。

その後、「保存」をクリックして変更を保存します。

リダイレクトの処理

ユーザーが Logto からあなたのアプリケーションにリダイレクトされた後に行うべきことがまだあります。適切に処理しましょう。

pages/Callback.js

const callbackHandler = async (logtoClient) => {
  await logtoClient.handleSignInCallback(window.location.href);

  if (!logtoClient.isAuthenticated) {
    // サインイン失敗の処理
    alert('サインインに失敗しました');
    return;
  }

  // サインイン成功の処理
  window.location.assign('/');
};

サインインとサインアウトの実装

logtoClient は、認証 (Authentication) フローを簡単に管理するための signIn と signOut メソッドを提供します。

注記:

.signIn() を呼び出す前に、Admin Console でリダイレクト URI が正しく設定されていることを確認してください。 :::

pages/Home.js

const isAuthenticated = await logtoClient.isAuthenticated();

const onClickSignIn = () => {
  logtoClient.signIn('http://localhost:3000/callback');
};
const onClickSignOut = () => {
  logtoClient.signOut('http://localhost:3000');
};

const button = document.createElement('button');
button.innerHTML = isAuthenticated ? 'Sign Out' : 'Sign In';
button.addEventListener('click', isAuthenticated ? onClickSignOut : onClickSignIn);

document.body.appendChild(button);

.signOut() を呼び出すと、存在する場合、メモリと localStorage 内のすべての Logto データがクリアされます。

認証 (Authentication) ステータスの処理

Logto SDK では、一般的に logtoClient.isAuthenticated を使用して認証 (Authentication) ステータスを確認できます。ユーザーがサインインしている場合、この値は true になり、そうでない場合は false になります。

バニラ JS アプリでは、isAuthenticated ステータスを使用して、サインインおよびサインアウトボタンをプログラムで表示および非表示にすることができます。どのように行うか見てみましょう。

const redirectUrl = 'http://localhost:3000/callback';
const baseUrl = 'http://localhost:3000';

// サインインおよびサインアウトボタンの条件付きレンダリング
const render = async (logtoClient) => {
  const isAuthenticated = await logtoClient.isAuthenticated();
  const container = document.querySelector('#container');

  const onClickSignIn = () => logtoClient.signIn(redirectUrl);
  const onClickSignOut = () => logtoClient.signOut(baseUrl);

  const button = document.createElement('button');
  button.innerHTML = isAuthenticated ? 'Sign Out' : 'Sign In';
  button.addEventListener('click', isAuthenticated ? onClickSignOut : onClickSignIn);

  container.append(button);
};

チェックポイント: アプリケーションをテストする

これで、アプリケーションをテストできます：

1. アプリケーションを実行すると、サインインボタンが表示されます。
2. サインインボタンをクリックすると、SDK がサインインプロセスを初期化し、Logto のサインインページにリダイレクトされます。
3. サインインすると、アプリケーションに戻り、サインアウトボタンが表示されます。
4. サインアウトボタンをクリックして、トークンストレージをクリアし、サインアウトします。

DingTalk コネクターを追加する

迅速なサインインを有効にし、ユーザーコンバージョンを向上させるために、アイデンティティプロバイダー (IdP) として Vanilla JS を接続します。Logto ソーシャルコネクターは、いくつかのパラメーター入力を許可することで、この接続を数分で確立するのに役立ちます。

ソーシャルコネクターを追加するには、次の手順に従ってください：

1. Console > Connectors > Social Connectors に移動します。
2. 「Add social connector」をクリックし、「DingTalk」を選択します。
3. README ガイドに従い、必要なフィールドを完了し、設定をカスタマイズします。

注記:

インプレースコネクターガイドに従っている場合は、次のセクションをスキップできます。

DingTalk OAuth app を設定する

DingTalk Open Platform で Web アプリを作成する

ヒント：すでに完了しているセクションはスキップできます。

DingTalk 開発者アカウントを登録する

DingTalk 開発者アカウントをお持ちでない場合は、 DingTalk Open Platform で登録してください。

アプリケーションを作成する

1. DingTalk Open Platform の「アプリケーション開発」>「社内アプリケーション」>「DingTalk アプリケーション」で「アプリケーション作成」をクリック
2. アプリケーション名 と 説明 を入力し、「保存」をクリック
3. 左側のナビゲーションバーで「開発設定」>「セキュリティ設定」を選択し、「リダイレクト URL」 ${your_logto_origin}/callback/${connector_id} を設定します。connector_id は管理コンソールで該当コネクターを追加後、コネクター詳細ページで確認できます
4. 左側のナビゲーションバーで「基本情報」>「資格情報と基本情報」を選択し、Client ID と Client Secret を取得します

権限を設定する

「開発設定」>「権限管理」で Contact.User.Read および Contact.User.mobile 権限を選択し、認可します

アプリケーションをリリースする

左側のナビゲーションバーで「アプリケーションリリース」>「バージョン管理とリリース」を選択し、最初のバージョンを作成してリリースし、Client ID と Client Secret を有効化します

注記:

アプリケーションがバージョンをリリースしない場合、取得した「Client ID」と「Client Secret」は使用できず、リクエストも失敗します。

コネクターを設定する

前セクションで取得した OAuth アプリ詳細ページの Client ID（旧 AppKey および SuiteKey） と Client Secret（旧 AppKey および SuiteKey） を clientId および clientSecret フィールドに入力します。

scope は現在 2 つの値をサポートしています：openid および openid corpid。openid は認可後にユーザーの userid を取得でき、openid corpid はログイン時に選択したユーザーの id と組織の id の両方を取得できます。値はスペース区切りで指定してください。注意：URL エンコードが必要です。

設定タイプ

名前	型
clientId	string
clientSecret	string
scope	string

DingTalk コネクターをテストする

これで完了です。DingTalk コネクターが利用可能になっているはずです。 サインイン体験でコネクターを有効化 するのを忘れずに。

DingTalk Web コネクターを有効化したら、アプリに再度サインインして動作を確認できます。

注記:

開発中は DingTalk Open Platform の利用規約および開発ガイドラインを厳守してください。

サポート

ご質問やさらなるサポートが必要な場合は、 DingTalk 開発者ドキュメント をご覧いただくか、DingTalk テクニカルサポートまでお問い合わせください。

設定を保存する

Logto コネクター設定エリアで必要な値をすべて記入したことを確認してください。「保存して完了」または「変更を保存」をクリックすると、DingTalk コネクターが利用可能になります。

サインイン体験で DingTalk コネクターを有効にする

ソーシャルコネクターを正常に作成したら、サインイン体験で「DingTalk で続行」ボタンとして有効にすることができます。

1. Console > サインイン体験 > サインアップとサインイン に移動します。
2. （オプション）ソーシャルログインのみが必要な場合は、サインアップ識別子に「該当なし」を選択します。
3. 設定済みの DingTalk コネクターを「ソーシャルサインイン」セクションに追加します。

テストと検証

Vanilla JS アプリに戻ります。これで DingTalk を使用してサインインできるはずです。お楽しみください！

さらなる読み物

エンドユーザーフロー：Logto は、MFA やエンタープライズシングルサインオン (SSO) を含む即時使用可能な認証 (Authentication) フローを提供し、アカウント設定、セキュリティ検証、マルチテナント体験の柔軟な実装のための強力な API を備えています。

認可 (Authorization)：認可 (Authorization) は、ユーザーが認証 (Authentication) された後に行えるアクションやアクセスできるリソースを定義します。ネイティブおよびシングルページアプリケーションの API を保護し、ロールベースのアクセス制御 (RBAC) を実装する方法を探ります。

組織 (Organizations)：特にマルチテナント SaaS や B2B アプリで効果的な組織機能は、テナントの作成、メンバー管理、組織レベルの RBAC、およびジャストインタイムプロビジョニングを可能にします。

顧客 IAM シリーズ：顧客（または消費者）アイデンティティとアクセス管理に関する連続ブログ投稿で、101 から高度なトピックまでを網羅しています。