このページは Cloud Translation API によって翻訳されました。

ユーザー ID とアプリ ID による OAuth 2.0 トークンへのアクセスを有効にする

Edge for Private Cloud v4.18.05

このドキュメントでは、エンドユーザー ID、アプリ ID、またはこの両方を使用して OAuth 2.0 アクセストークンの取得と取り消しを可能にする方法を説明します。

OAuth アクセストークンには、アプリ ID が自動的に追加されます。したがって、以下の手順を使用して組織のトークンアクセスを有効にした後は、アプリ ID を使用してトークンにアクセスできます。

エンドユーザー ID を使用して OAuth 2.0 アクセストークンの取得と取り消しを行うには、エンドユーザー ID がアクセストークンに存在する必要があります。以下の手順では、エンドユーザー ID を既存のトークンまたは新しいトークンに追加する方法について説明します。

デフォルトでは、Edge が OAuth 2.0 アクセストークンを生成する際のトークンの形式は次のとおりです。

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

次の点にご留意ください。

application_name フィールドには、トークンに関連付けられているアプリの UUID が含まれます。アプリ ID による OAuth 2.0 アクセストークンの取得と取り消しを有効にする場合は、このアプリ ID を使用します。
access_token フィールドには、OAuth 2.0 アクセストークンの値が含まれています。

エンドユーザー ID による OAuth 2.0 アクセストークンの取得と取り消しを有効にするには、以下の手順の説明に沿ってユーザー ID をトークンに含めるように OAuth 2.0 ポリシーを構成します。

エンドユーザー ID は、デベロッパーのメールアドレスではなく、Edge がデベロッパー ID として使用する文字列です。デベロッパーの ID は、Get Developer API 呼び出しを使用してデベロッパーのメールアドレスから確認できます。

エンドユーザー ID がトークンに含まれるように Edge を構成すると、次のように app_enduser フィールドとして組み込まれます。

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "app_enduser" : "6ZG094fgnjNf02EK",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

ユーザー ID とアプリ ID によって OAuth 2.0 アクセストークンの取得と取り消しを行う API

ユーザー ID、アプリ ID またはその両方を使用して OAuth トークンにアクセスするには、次の API を使用します。

トークンアクセスを有効化する手順

エンドユーザー ID とアプリ ID による OAuth 2.0 アクセストークンの取得と取り消しを有効にするには、以下の手順を使用します。

ステップ 1: 組織のトークンアクセスサポートを有効にする

トークンアクセスは、組織ごとに個別に有効にする必要があります。エンドユーザー ID またはアプリ ID による OAuth 2.0 アクセストークンの取得と取り消しを有効にする組織ごとに、以下の PUT API を呼び出します。

次の呼び出しを行うユーザーには、対象の組織に対するロール orgadmin または opsadmin が必要です。値（values）を組織固有の値に置き換えてください。

curl -H "Content-type:text/xml" -X POST \
  https://management_server_IP;:8080/v1/organizations/org_name \
  -d '<Organization name="org_name">
      <Properties>
        <Property name="features.isOAuthRevokeEnabled">true</Property>
        <Property name="features.isOAuth2TokenSearchEnabled">true</Property>
      </Properties>
    </Organization>' \
  -u USER_EMAIL:PASSWORD

ステップ 2: 組織の opsadmin ロールに権限を設定する

ユーザー ID またはアプリ ID に基づいて OAuth 2.0 トークンを取得する（HTTP GET）権限と取り消す（HTTP PUT）権限は、組織の orgadmin および opsadmin ロールにのみ付与される必要があります。アクセスを制御するには、組織の /oauth2 リソースに get 権限と put 権限を設定します。このリソースの URL の形式は次のとおりです。

https://management_server_IP:8080/v1/organizations/org_name/oauth2

orgadmin ロールにはすでに必要な権限が付与されているはずです。/oauth2 リソースの opsadmin ロールの場合、権限は次のようになります。

<ResourcePermission path="/oauth2">
  <Permissions>
    <Permission>get</Permission>
    <Permission>put</Permission>
  </Permissions>
</ResourcePermission>

単一リソースに対する権限を取得する API 呼び出しを使用すると、どのロールに /oauth2 リソースに対する権限が付与されているかを確認できます。

このレスポンスに基づき、リソースに対する権限をロールに追加する API 呼び出しとリソースに対する権限を削除する API 呼び出しを使用して、/oauth2 リソースの権限を必要に応じて調整できます。

次の curl コマンドを使用して、/oauth2 リソースに対する権限 get と put を opsadmin ロールに付与します。values は、組織固有の値に置き換えます。

curl -X POST -H 'Content-type:application/xml' \
  http://management_server_IP:8080/v1/organizations/org_name/userroles/opsadmin/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
      </Permissions>
    </ResourcePermission>' \
  -u USEREMAIL:PASSWORD

次の curl コマンドを使用して、orgadmin および opsadmin 以外のロールから、/oauth2 リソースに対する権限 get と put を取り消します。値（values）を組織固有の値に置き換えてください。

curl -X DELETE -H 'Content-type:application/xml' \
  http://management_server_IP:8080/v1/organizations/org_name/userroles/roles/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions></Permissions>
    </ResourcePermission>' \
   -u USEREMAIL:PASSWORD

ステップ 3: oauth_max_search_limit プロパティを設定する

/opt/apigee/customer/application/management-server.properties ファイルの conf_keymanagement_oauth_max_search_limit プロパティが 100 に設定されていることを確認します。

conf_keymanagement_oauth_max_search_limit = 100

このファイルが存在しない場合は作成します。

このプロパティは、トークンを取得するときに使用されるページサイズを設定します。Apigee ではこのプロパティの値として 100 をおすすめしていますが、適切と思われる値に設定することもできます。

新規インストールでは、このプロパティの値があらかじめ 100 に設定されます。このプロパティの値を変更する必要がある場合は、以下のコマンドを使用して Management Server と Message Processor を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

ステップ 4: エンドユーザー ID を含めるトークンを生成するように OAuth 2.0 ポリシーを構成する

トークンにエンドユーザー ID が含まれるように、アクセストークンの生成に使用される OAuth 2.0 ポリシーを構成します。アクセストークンにエンドユーザー ID を含めることで、ID によるトークンの取得と取り消しが可能になります。

アクセストークンにエンドユーザー ID が含まれるようにポリシーを構成するには、アクセストークンを作成するリクエストにエンドユーザー ID を含める必要があり、エンドユーザー ID が入った入力変数を指定する必要があります。

次の GenerateAccessTokenClient という名前の OAuth 2.0 ポリシーは、OAuth 2.0 アクセストークンを生成します。エンドユーザー ID を含む変数を指定する <AppEndUser> タグが太字で追加されています。

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
    <DisplayName>OAuth 2.0.0 1</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>GenerateAccessToken</Operation>
    <SupportedGrantTypes>
         <GrantType>client_credentials</GrantType>
    </SupportedGrantTypes>
    <GenerateResponse enabled="true"/>
    <GrantType>request.queryparam.grant_type</GrantType> 
    <AppEndUser>request.header.appuserID</AppEndUser> 
    <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

これにより、次の curl コマンドを使って OAuth 2.0 アクセストークンを生成し、ユーザー ID を appuserID ヘッダーとして渡すことができます。

curl -H "appuserID:6ZG094fgnjNf02EK" \
  https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \
  -X POST -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'

この例では、appuserID はリクエストヘッダーとして渡されます。リクエストの一部として情報を渡すには、さまざまな方法があります。たとえば、次の方法を代わりに使用することもできます。

フォームパラメータ変数 request.formparam.appuserID を使用する
エンドユーザー ID を提供するフロー変数を使用する