保護されたリソースを所有し、アクセスを与えることができるユーザまたはシステム。 この文書は、リソース所有者が個人の場合にもエンドユーザという用語を使用します。 psqlを使用して、OAuthを使用してデータベースに接続する場合、ユーザはリソース所有者/エンドユーザになります。

アクセストークンを使用して保護されたリソースにアクセスするシステム。 psqlなどのlibpqを使用するアプリケーションは、PostgreSQLクラスタに接続するときのOAuthクライアントです。

クライアントによってアクセスされる保護されたリソースをホスティングするシステム。 接続されるPostgreSQLクラスタはリソースサーバです。

特定のアプリケーションのためにOAuth認証サーバおよびクライアントを開発および/または管理する組織、プロダクトベンダ、その他のエンティティ。 典型的には、プロバイダが異なれば、OAuthシステムに対して選択する実装の詳細も異なります。 あるプロバイダのクライアントが別のプロバイダのサーバに対してアクセスできる保証は通常ありません。

この「プロバイダ」という用語の使用は標準的ではありませんが、一般的に広く使用されているようです。 （OpenIDの類似用語である「IDプロバイダ」と混同しないでください。 PostgreSQLでのOAuthの実装はOpenID Connect/OIDCとの相互運用と互換性を意図していますが、自分自身はOIDCクライアントではないため、使用する必要はありません。）

認証されたリソース所有者が承認した後に、クライアントからアクセストークンのリクエストを受信し、アクセストークンをクライアントに発行するシステム。 PostgreSQLは認可サーバを提供しません。これはOAuthプロバイダの責任です。

OAuthクライアントのための信頼された「名前空間」で、https:// URLの形で印字される認可サーバの識別子。 発行者識別子により、それらが別々の発行者を保持する限り、単一の認可サーバが相互に信用していないエンティティのクライアントと話すことを可能にします。

ディスカバリー文書によって定義された認可サーバの正確な発行者識別子であるか、またはそのディスカバリー文書を直接指す既知のURIであるHTTPS URLです。 このパラメータは必須です。

OAuthクライアントがサーバに接続する際に、その発行者識別子を用いてディスカバリー文書のURLを構築します。 デフォルトでは、このURLはOpenID Connect Discoveryの規約であるパス/.well-known/OpenID-configuration発行者識別子の末尾に付加されます。 あるいは、issuerが/.well-known/パスセグメントを含んでいる場合、そのURLがそのままクライアントに提供されます。

サーバがクライアントを認可し、ユーザを認証するのに必要な空白で区切られたOAuthスコープです。 認証サーバとOAuth検証モジュールによって適切な値が決まります（検証器の詳細は第50章を参照）。 このパラメータは必須です。

ベアラトークンの検証に使用するライブラリ。 指定する場合、名前はoauth_validator_librariesに列挙されているライブラリの1つと正確にマッチする必要があります。 このパラメータは、oauth_validator_librariesが複数のライブラリを含んでいる場合を除き、オプションです。複数のライブラリが含まれていれば必須です。

OAuthアイデンティティプロバイダとデータベースユーザ名の間のマッピングを可能にします。 詳細は、20.2を参照してください。 マップが指定されていない場合、（OAuth検証器によって決定される）トークンに関連付けられたユーザ名は、要求されているロール名と正確にマッチする必要があります。 このパラメータはオプションです。

一般的な使用を目的としない高度なオプション。

1に設定すると、pg_ident.confによる標準ユーザマッピングはスキップされ、OAuth検証器はデータベースロールに対するマッピングエンドユーザIDに対して完全な責任を負います。 検証器がトークンを認可すると、サーバはユーザが要求されたロールの下で接続できることを信頼し、ユーザの認証ステータスに関係なくコネクションを続行できます。

このパラメータはmapと互換性がありません。