OAuth 接続を作成する

Control Room 管理者は、ユーザーに対して OAuth 接続を作成し、認証の詳細を入力せずにパッケージの認証アクションでその接続を使用できるようにすることができます。

注: Salesforce のマークとロゴ、Microsoft SharePoint のマークとロゴ、Apigee のマークとロゴ、ServiceNow のマークとロゴ、Genesys のマークとロゴは、それぞれ Salesforce, Inc.、Microsoft Corp.、Google LLC、ServiceNow, Inc.、Genesys の商標または登録商標であり、識別のみを目的として使用されています。

前提条件

  • 接続をマネージ 権限が有効になっているユーザー ロールを使用して OAuth 接続 機能を利用していることを確認してください。 [ロールに対する機能の権限]を参照してください。
  • 複数の範囲を追加する場合は、カンマで区切ってください。

    例: api、refresh_token、offline_access

  • エンタープライズ アプリケーションを構成しており、クライアント ID、クライアント シークレット、認証 URL、トークン URL、Scopeを記録していることを確認してください。 [エンタープライズ アプリケーションを構成する]を参照してください。
    注:
    • 接続エラーを避けるために、上記の前提条件を考慮してください。
    • OAuthを設定する際、スコープフィールドは任意です。 IDP(アイデンティティプロバイダー)と相談して、必要なスコープを決定します。
    • 次の表には認証されたアプリケーションがリストされていますが、管理 > OAuth接続 > 接続を作成を使用してエンタープライズアプリケーションを構成できます。プロバイダータイプカスタムとして選択します。
    • 有効期間が長く構成されているリフレッシュ トークンを使用することをお勧めします。 [AuthConfig アプリを使用して OAuth2 サービスを有効化する]を参照してください。

OAuthの主要コンポーネントの例

エンタープライズ アプリケーション 認可 URL トークン URL 範囲
Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token 不要
Google Workspace (カレンダー、ドライブ、シート、および Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Google シート: https://www.googleapis.com/auth/drive、https://www.googleapis.com/auth/spreadsheets
  • Google ドライブ: https://www.googleapis.com/auth/drive
  • Google カレンダー: https://www.googleapis.com/auth/calendar
  • Gmail : https://developers.google.com/identity/protocols/oauth2/scopes#gmail

    https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default
Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token 認証コードフロー: offline_access,openid,https://graph.microsoft.com/.default
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api、refresh_token、offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do 不要
SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token https://<domain-name>/AllSites.Manage,offline_access,openid
注: OpenID 範囲は、アプリがエンドユーザーを識別するために ID トークンの sub 請求を必要とする場合にのみ必要です。 それ以外の場合、この範囲は任意です。

手順

  1. Control Roomマネージ > OAuth 接続 に移動します。
  2. 接続の作成 をクリックします。
  3. 開いた 接続設定 画面で、プロバイダータイプ を選択します。
    注: コールバック URL は、Control Room に接続するためにエンタープライズ アプリケーションの構成設定で使用されます。
  4. 接続を識別するために、一意の 接続名 を入力します。
  5. オプション: 接続の 説明 を入力します。
    OAuth 接続の設定ページを表示した画像
  6. 次へ をクリックします。
    認証の詳細 画面が表示されます。
  7. 認可タイプ を選択します。 「OAuth 認証コード フロー」および「OAuth クライアント資格情報フロー」をご確認ください。
    注: Google Cloud Platform (GCP) アカウント用に設定する場合は、[認証コード フロー] を選択してください。これは、Control Room が管理する OAuth 接続で PKCE による認証コード フロー が現在サポートされていないためです。
  8. プロバイダーから提供された、お客様のアカウントの クライアント ID を入力してください。
  9. プロバイダーから提供された、お客様のアカウントの クライアント シークレット を入力してください。
    注:
    • 接続をテストまたは作成するとクライアントシークレット フィールドはユーザー インターフェイスに表示されなくなりますが、バックエンド サービスは保存された値を引き続き使用します。 これは予期されている動作です。
    • クライアント シークレットフィールドは、値を入力している間、パスワード フィールドのようにマスクされます。 これは、秘密が平文で表示されるのを防ぐことによってセキュリティを強化します。
  10. アカウントの認可コードを取得するための 認可 URL を入力します。
    注: Apigee または Google Cloud Platform (GCP) アカウントの場合、認可 URL に &access_type=offline を追加する必要があります。 例えば: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline
  11. 認可コードとアクセス トークンを交換するときに使用する トークン URL を入力します。
  12. オプション: [範囲] を入力します。

    トークンの有効期限は、アイデンティティプロバイダーによって設定できます。 トークンが期限切れになると、Botoffline_access スコープを使用して、Control Room の詳細に基づいて新しい有効なトークンを取得します。 「OAuth で Control Room 接続を構成する」を参照してください。

    OAuth 認証の詳細ページを表示した画像
    この情報は、アクセス トークンの請求 (ユーザーに関する情報) として使用され、リソース サーバーに転送され、アクセスを制限します。
  13. [次へ] をクリックします。
    接続をテストして資格情報を保存 画面が表示されます。
  14. オプション: ログイン資格情報を保存 を選択します。
    注: このオプションは、共有トークンを生成して、ユーザー認証と同意を必要とすることなく、ユーザーがこの接続を使用できるようにする場合にのみ使用します。 このオプションを選択する場合、この接続を使用する際に 共有 トークン タイプ オプションを選択する必要があります。 「OAuth トークン」を参照してください。
  15. オプション: 変更を保存して接続をテスト をクリックします。
    OAuth テスト接続と認証情報の保存ページを表示した画像
    注: 変更を保存して接続をテスト オプションをクリックした後、接続に成功した場合、次へ ボタンは無効になります。 戻る ボタンをクリックし、再度 クライアント シークレット を入力して 次へ をクリックします。 以前に提供した認証情報の詳細に変更を加えない限り、接続を再度テストする必要はありません。
  16. [次へ] をクリックします。
    ロールを招待 画面が表示されます。
  17. この接続を使用するために招待するロールを選択します。 招待されたロールのみが、非公開または共有のどちらかにかかわらず、Bot でトークンを使用できます。OAuth 招待のロール ページを表示した画像

    Bot が OAuth 接続を使用する場合、ロールを招待アクションは必須です。 このアクションは任意です、外部サービスがOAuth接続を使用する場合。

    注: 利用可能なロール のリストにはカスタム ロールのみが表示されます。
  18. [接続の作成] をクリックします。 OAuth 接続が作成されます。

次のビデオでは、OAuth 接続の作成方法を紹介します。

次のステップ

OAuth 接続を使用する