OAuth 接続を作成する

Control Room 管理者は、ユーザーに対して OAuth 接続を作成し、認証の詳細を入力せずにパッケージの認証アクションでその接続を使用できるようにすることができます。

Salesforce のマークとロゴ、Microsoft SharePoint のマークとロゴ、Apigee のマークとロゴ、ServiceNow のマークとロゴ、Genesys のマークとロゴは、それぞれ Salesforce, Inc.、Microsoft Corp.、Google LLC、ServiceNow, Inc.、Genesys の商標または登録商標であり、識別のみを目的として使用されています。

Cloud Control Room インスタンスで作成された外部 OAuth 接続については、認証 URL やトークン URL などのすべての外部エンドポイントが、ネットワーク境界ファイアウォール ルールを通じて Cloud Control Room から到達可能である必要があります。 ネットワーク ファイアウォールを構成し、Automation Anywhere のアウトバウンド IP アドレスを許可リストに追加してください。 外部統合の Control Room IP アドレスを参照してください。

前提条件

  • Control Room サーバーがプロキシの背後にあり、外部接続がプロキシを通過する必要がある場合は、フォワード プロキシ設定の構成 に詳述されているようにフォワードプロキシ設定を構成してください。
  • OAuth 接続 機能に対して 接続をマネージ 権限が有効になっているユーザー ロールを使用していることを確認してください。 ロールに対する機能の権限を参照してください。
  • 複数の範囲を追加する場合は、カンマで区切ってください。

    例: api、refresh_token、offline_access

  • エンタープライズ アプリケーションを構成しており、クライアント ID、クライアント シークレット、認証 URL、トークン URL、Scopeを記録していることを確認してください。 エンタープライズ アプリケーションを構成するを参照してください。
    注:
    • 接続エラーを避けるために、上記の前提条件を考慮してください。
    • 次の表には認証されたアプリケーションがリストされていますが、管理 > OAuth接続 > 接続を作成を使用してエンタープライズアプリケーションを構成できます。プロバイダータイプカスタムとして選択します。

OAuthの主要コンポーネントの例

エンタープライズ アプリケーション 認可 URL トークン URL 範囲
Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token 不要
Google Workspace (カレンダー、ドライブ、シート、および Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Google シートの場合は、https://www.googleapis.com/auth/drive、https://www.googleapis.com/auth/spreadsheets を使用してください。
  • Google ドライブには、https://www.googleapis.com/auth/drive を使用してください
  • Google カレンダーには https://www.googleapis.com/auth/calendar を使用してください
  • Gmail の場合、ユーザー : https://developers.google.com/identity/protocols/oauth2/scopes#gmail, https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default
Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token 認証コード フローの場合、ユーザーはoffline_access,openid,https://graph.microsoft.com/.defaultを使用します
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api、refresh_token、offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do 不要
SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
  • SharePoint の操作については、https://<domain-name>/AllSites.Manage,offline_access,openid をご利用ください。
  • SharePoint のウェブトリガーには、https://graph.microsoft.com/.default,openid, offline_access を使用してください。
注: OpenID 範囲は、アプリがエンドユーザーを識別するために ID トークンの sub 請求を必要とする場合にのみ必要です。 それ以外の場合、この範囲は任意です。

手順

  1. Control Roomマネージ > OAuth 接続 に移動します。
  2. 接続の作成 をクリックします。
  3. 開いた 接続設定 画面で、プロバイダータイプ を選択します。
    注: コールバック URL は、Control Room に接続するためにエンタープライズ アプリケーションの構成設定で使用されます。
  4. 接続を識別するために、一意の 接続名 を入力します。
  5. オプション: 接続の 説明 を入力します。
    OAuth 接続の設定ページを表示した画像
  6. 次へ をクリックします。
    認証の詳細 画面が表示されます。
  7. 認可タイプ を選択します。 OAuth 認証コード フローおよびOAuth クライアント資格情報フローをご確認ください。
    注: Google Cloud Platform (GCP) アカウント用に設定する場合は、認証コード フロー を選択してください。これは、Control Room が管理する OAuth 接続で PKCE による認証コード フロー が現在サポートされていないためです。
  8. プロバイダーから提供された、お客様のアカウントの クライアント ID を入力してください。
  9. プロバイダーから提供された、お客様のアカウントの クライアント シークレット を入力してください。
    注:
    • 接続をテストまたは作成するとクライアントシークレット フィールドはユーザー インターフェイスに表示されなくなりますが、バックエンド サービスは保存された値を引き続き使用します。 これは予期されている動作です。
    • クライアント シークレットフィールドは、値を入力している間、パスワード フィールドのようにマスクされます。 これは、秘密が平文で表示されるのを防ぐことによってセキュリティを強化します。
  10. アカウントの認可コードを取得するための 認可 URL を入力します。
    注: Apigee または Google Cloud Platform (GCP) アカウントの場合、認可 URL に &access_type=offline を追加する必要があります。 例えば: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline
  11. 認可コードとアクセス トークンを交換するときに使用する トークン URL を入力します。
  12. オプション: 範囲 を入力します。

    トークンの有効期限は、アイデンティティプロバイダーによって設定できます。 トークンが期限切れになると、Botoffline_access スコープを使用して、Control Room の詳細に基づいて新しい有効なトークンを取得します。 Control Room で OAuth 接続を構成するを参照してください。

    OAuth 認証の詳細ページを表示した画像
    この情報は、アクセス トークンの請求 (ユーザーに関する情報) として使用され、リソース サーバーに転送され、アクセスを制限します。
    注: Control Room およびアイデンティティ プロバイダーを構成する際に、offline_access スコープまたは適切なリフレッシュ トークン スコープを追加することをお勧めします。これにより、アクセストークンが自動的に更新されるようになります。 そうでなければ、Control Room でトークンを手動で更新する必要があります。 ユーザー固有の OAuth 接続の認証を参照してください。
  13. 次へ をクリックします。
    接続をテストして資格情報を保存 画面が表示されます。
  14. オプション: ログイン資格情報を保存 を選択します。
    注: このオプションは、共有トークンを生成して、ユーザー認証と同意を必要とすることなく、ユーザーがこの接続を使用できるようにする場合にのみ使用します。 このオプションを選択する場合、この接続を使用する際に 共有 トークン タイプ オプションを選択する必要があります。 OAuth トークンを参照してください。
  15. オプション: 変更を保存して接続をテスト をクリックします。
    OAuth テスト接続と認証情報の保存ページを表示した画像
    注: 変更を保存して接続をテスト オプションをクリックした後、接続に成功した場合、次へ ボタンは無効になります。 戻る ボタンをクリックし、再度 クライアント シークレット を入力して 次へ をクリックします。 以前に提供した認証情報の詳細に変更を加えない限り、接続を再度テストする必要はありません。
  16. 次へ をクリックします。
    ロールを招待 画面が表示されます。
  17. この接続を使用するために招待するロールを選択します。 招待されたロールのみが、非公開または共有のどちらかにかかわらず、Bot でトークンを使用できます。OAuth 招待のロール ページを表示した画像

    Bot が OAuth 接続を使用する場合、ロールを招待アクションは必須です。 このアクションは任意です、外部サービスがOAuth接続を使用する場合。

    注: 利用可能なロール のリストにはカスタム ロールのみが表示されます。
  18. 接続の作成 をクリックします。 OAuth 接続が作成されます。

次のビデオでは、OAuth 接続の作成方法を紹介します。

次のステップ

OAuth 接続を使用する