Auth0のダッシュボード管理者の権限をより細かく設定できる機能がベータで提供されたので試してみる

2020.10.28

Auth0のダッシュボード管理者は、現在は全ての機能にアクセスできる、もしくは選択したアプリケーションのみにアクセスできる のみの設定しかできません。 ログインできるユーザーの権限をもっと細かく設定したい という人は結構いたのではないでしょうか?

Auth0の管理ダッシュボードのお知らせで、以下の内容が届いていました。

A new set of built-in roles allow Administrators to invite team members with limited access to the Auth0 dashboard. With this beta release, more people in your team will be able to access the Dashboard to fulfill their jobs, without putting production applications and sensitive information at risk.

そうです、ついに権限設定ができるようになります。

現在はベータ期間中で、エンタープライズサブスクリプションのアカウントからこの機能を有効にできるようになっているみたいです。

やってみる

権限変更

まずは権限設定ができる機能を有効にします。

Tenant Settingsページ -> Advancedタブ -> Feature Previewsセクションから機能を有効にすることができます.

有効後、Tenant Settingsページ -> Tenant Membersタブをクリックします。

このページでは、現在Auth0ダッシュボードにログインできるユーザー一覧が表示されています。

ADD Memberボタンを押して新規追加するか、既存のユーザーの編集で権限を変更できるようになります。

※ 現在ログインしているユーザーの権限は設定できません。

選択できる権限ですが、

Admin すべてのリソースへの読み取りおよび書き込みが可能
Editor Specific Apps 特定のアプリケーションへの読み取りおよび書き込みが可能
Editor Users ユーザー管理操作(ブロック、ブロック解除、MFAのリセット、パスワードのリセット、メタデータの更新、役割の割り当てなど)とログへのアクセスが可能
Viewer Users ユーザーとログへの読み取りが可能
Viewer Config シークレット、請求、ユーザー、ログなどの機密情報を除く、すべての構成設定(アプリケーション、API、ルール、セキュリティ設定など)への読み取りが可能

このようになっています。

Viewer Usersを設定した場合、ダッシュボードにログインすると

このように左側のメニュー表示が変わります。

権限がないページにアクセスすると

このようにアクセスできない旨が表示されるようになっています。

プレビュー機能を無効にする

有効にし、ユーザーの権限を変更した後、この機能を無効にしたらどうなるか試してみます。

先ほどViewer Usersの権限をつけたユーザーがいましたが、この状態だと無効にはできないようです。

無効にしたい場合は、AdminEditor Specific Appsに権限を変更する必要があります。

所感

読み取り専用のアクセスや機密情報へのアクセスをできなくすることができるので管理者にとっては嬉しいアップデートとなるのではないでしょうか。

Auth0ではフィードバックを送ることもできますので、この機能を試した方はぜひ送ってください。

私は記事内に書いた権限の種類以外で、ユーザー自身がカスタムをして権限が作れるようになればもっとセキュアにできるのではないか? と思いました。 (RuleやHookの書き込みはできるが、ユーザーは読み取りのみ, Billingの情報にはアクセスできないようにする とか)

参考