Automation 360 Control Room は、Cloud デプロイメントにおいて OAuth 2.0 および OpenID Connect (OIDC) 認可サーバーとして機能し、管理者は Control Roomごとに最大 25 個の外部 OAuthクライアントを登録し、そのライフサイクルおよびアクセス権限を管理できます。

登録後、これらのクライアントは標準のOAuth 2.0および OIDC フローを使用して AAI 認可サーバーからトークンを取得し、そのトークンを使用してAutomation 360リソースへ安全にアクセスできます。 Control Room は、これらのトークンを発行および更新するために、Authorization Code、Authorization Code with PKCE、Refresh Token の各認可グラントタイプをサポートしています。 この機能により、MCP クライアントやその他のOAuth対応クライアントを含む、サードパーティシステムおよび社内アプリケーションとの標準ベースのインバウンド統合が可能になります。

AAI 認可サーバーは、以下の属性を持つOAuthトークンを発行します:

  • トークン形式 - 発行されたトークンが JSON Web Token(JWT)であるかどうかを示します。
  • アクセストークンの有効期限 - これは、アクセストークンが有効である期間を示します。
  • リフレッシュ トークンの有効期間 - これは、リフレッシュ トークンを使用して新しいアクセス トークンを取得できる期間を示します。
  • JWKS エンドポイント - これは、JWT 署名の検証に使用される公開鍵を含む JSON Web Key Set(JWKS)を公開するエンドポイントです。

これらの設定は、発行されたトークンが有効である期間と、外部システムが Automation 360 と統合する際にトークンを検証または取り消す方法を決定します。

注: 外部サービスへのアウトバウンド接続用のControl RoomOAuthクライアントとして構成するには、Control Room で OAuth 接続を構成するを参照してください。

前提条件

ユーザーのロールに、次のいずれかのControl Room権限が含まれていることを確認してください。
  • アプリケーション登録ビュー – 既存のOAuthクライアントを表示します。
  • アプリケーション登録管理OAuth クライアントの作成、更新、削除を行います。

手順

  1. Automation 360 Control Room にログインします。
  2. 左側のナビゲーションから 管理 を選択します。
  3. OAuth クライアントに移動します。 Control Room に登録されているすべての既存の OAuth クライアントが一覧表示されます(存在する場合)。OAuth クライアントを表示
  4. クライアントを作成をクリックして、新しいOAuthクライアントを登録します。新しい OAuth クライアントを作成
  5. OAuth クライアントを識別するために、一意の アプリケーション名 を入力します。
  6. ドロップダウン リストから アプリケーション タイプ を選択します。
    • 通常のウェブ- クライアントシークレットを使用する場合は、このアプリケーションタイプを使用してください。 通常、クライアントがシークレットを保護できるセキュアなウェブサーバー上に存在する場合に使用されます。
    • シングルページ アプリケーション - PKCE を使用し、クライアント シークレットの送信を省略する場合は、この アプリケーションタイプ を使用してください。 これは通常、クライアントがシークレットの保護を確保できない非保護環境に存在する場合に使用されます。
  7. 任意: OAuth クライアントの 説明 を入力します。
  8. 1つ以上のURI をリダイレクトを入力してクライアントを検証し、追加をクリックしてください。 各リダイレクト URI はコンマで区切ります。 現在、リダイレクト URI を最大10個まで追加できます。
    注: OAuth クライアント構成を保存すると、システムはすべての URI をリダイレクト が HTTPS を使用していることを確認します。 検証が完了すると、クライアントのメタデータが生成されます。
  9. クライアントを作成をクリックします。

    新しく作成されたクライアントは、OAuth クライアント ページに表示されます。 作成したアプリケーション名をクリックして、OAuthクライアントの詳細(自動生成されたクライアントメタデータで構成)を表示します。 OAuth クライアントを表示および管理を参照してください。

    すべての生成された値は個別にコピーできます。 クライアント IDクライアントシークレット、およびエンドポイント URL を外部アプリケーションの所有者と共有し、OAuthクライアントアプリケーションに設定できるようにしてください。

    注:
    • クライアント シークレットはパスワードのように取り扱ってください。 これは、外部アプリケーションの信頼できる管理者とだけ共有し、シークレットマネージャーなどの安全な場所に保管する必要があります。
    • 認可されたユーザーは、いつでもOAuth クライアントページからクライアント シークレットを表示できます。