> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# ルールを使ってAPIへのユーザーアクセスを拒否する

> ルールを使ってAuth0の認可拡張機能でAPIへのユーザーアクセスを拒否する方法を説明します。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Auth0の認可拡張機能でのみ使用できます。認可コアの機能セットを使用している場合は、代わりに[ビルトイントークンダイアレクト](https://auth0.com/docs/authorization/rbac/enable-role-based-access-control-for-apis#token-dialect-options)を使用してください。詳細については、「[認可コアと認可拡張機能](https://auth0.com/docs/authorization/authorization-core-vs-authorization-extension)」をお読みください。
</Callout>

[［Dashboard］>［Auth0 Pipeline（Auth0パイプライン）］>［Rules（ルール）］](https://manage.auth0.com/#/rules)に移動します。[ルール](/docs/ja-jp/customize/rules)は、ユーザー管理やユーザープロファイルの拡充といった、さまざまな目的でセットアップできます。APIへのユーザーアクセスを拒否する必要がある場合は、スコープを割り当てたロールを作成した後に、アクセストークンからスコープを削除するルールを作成します。

```javascript lines theme={null}
{
function (user, context, callback) {
  var permissions = user.permissions || [];
  var requestedScopes = context.request.body.scope || context.request.query.scope;
  var filteredScopes = requestedScopes.split(' ').filter( function(x) {
      return x.indexOf(':') < 0;
  });

  var allScopes = filteredScopes.concat(permissions);
  context.accessToken.scope = allScopes.join(' ');

  callback(null, user, context);
}
```